elasticsearch 仅将filebeat配置为读取最后5天的日志文件,elasticsearch,logging,filebeat,elasticsearch,Logging,Filebeat" /> elasticsearch 仅将filebeat配置为读取最后5天的日志文件,elasticsearch,logging,filebeat,elasticsearch,Logging,Filebeat" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 仅将filebeat配置为读取最后5天的日志文件

elasticsearch 仅将filebeat配置为读取最后5天的日志文件

logging

elasticsearch 仅将filebeat配置为读取最后5天的日志文件,elasticsearch,logging,filebeat,elasticsearch,Logging,Filebeat,我在“logs”文件夹中有几个以下目录格式的日志文件 上面每个文件夹都有Error.log文件。我想从filebeat中读取2019-10-20至以上版本中的Error.log文件,并推送到elastic serch。如何使用filebeat.yml实现这一点 这是我的filebaet.yml部分 filebeat.inputs: - type: log enabled: true paths: - d:\sites\*\logs\*\Error.log fields:

我在“logs”文件夹中有几个以下目录格式的日志文件

上面每个文件夹都有Error.log文件。我想从filebeat中读取2019-10-20至以上版本中的Error.log文件,并推送到elastic serch。如何使用filebeat.yml实现这一点

这是我的filebaet.yml部分

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - d:\sites\*\logs\*\Error.log

  fields:
    level: error
    application: cms

  ### Multiline options
  multiline.pattern: '^([0-9]{4}-[0-9]{2}-[0-9]{2})'
  multiline.negate: true
  multiline.match: after
  pipeline: logpipeline
我认为这不是一个完美的答案。但是对于这种情况,您可以在filebeat中使用feature
exclude\u line
。在filebeat.yml文件中,按如下所示进行配置,然后重试

 filebeat.inputs:

- type: log
  enabled: true
  paths:
     - /var/log/*.log

  exclude_lines: ['^2019-10-1']
这将排除以“2019-10-1”开头的行。

最终找到了它。文件节拍配置允许按时间忽略文件。您可以使用它作为分钟(24秒)、24小时(24小时)、24天(24天)

无需设置“已启用”,因为 
 filebeat.inputs:

- type: log
  enabled: true
  paths:
     - /var/log/*.log

  exclude_lines: ['^2019-10-1']

- type: log
  enabled: true
  paths:
    - d:\annywhere\logs\*\Error.log

  ignore_older: 24h