ELKF日志学习(六)FileBeat过滤日志
前言
在分析日志的时候,是否有遇到过一些无用的日志?
这种情况最好是处理好记录日志的情况,如果无法处理,我们只能过滤了。
代码仓库
include_lines
指定记录包含某些内容的行,比如:
filebeat.inputs:
- type: log
paths:
- /var/log/lumen/lumen.log
include_lines: ['pro.ERROR', 'pro.WARN']这样 FileBeat 就会收集包含 pro.ERROR、pro.WARN 的日志行。
TIPS:与 multiline 联合使用的时候,会针对合并后的记录再过滤。
exclude_lines
指定过滤包含某些内容的行,比如:
filebeat.inputs:
- type: log
paths:
- /var/log/lumen/lumen.log
exclude_lines: ['pro.INFO', 'pro.DEBUG']这样 FileBeat 就会收集包含 pro.INFO、pro.DEBUG 的日志行。
TIPS:与 multiline 联合使用的时候,会针对合并后的记录再过滤。
最后
银弹 不存在,我们能做的是尽量让日志更加合规。
本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!