filebeat作为ELK全家桶中的采集器,具备开箱即用的特点,配置非常简单。生产环境实践下来有几个值得关注的地方:
1.适当设置clean_和ignore_,防止文件重收
2.exclude_files是匹配的文件路径,如/home/davinciyxw/files/test.log,不能设置[’^test’],而是设置[‘files/test’]来匹配
3.适当减少filebeat.idle_timeout,默认5s
4.适当增大spool_size,默认2048
5.启动多个实例的情况下,一定要设置不同的registry和log
6.日志有中文的需要设置encoding,如gb2312,gbk等
7.scan_frequency可适当设小一点,但是太小会导致cpu走高,如果想实现“准实时”,可延长文件关闭的时间close_*
参考链接:
ELK之filebeat配置总结 : https://blog.csdn.net/davinciyxw/article/details/79324446