ELK之Filebeat输出日志格式设置及输出字段过滤和修改

一、Filebeat输出日志格式设置

1.1 编辑vim filebeat.yml文件，修改输出格式设置

# output to console
output.console:
  codec.format: 
    string: '%{[@timestamp]} %{[message]}'
  pretty: true

### 1.2 测试
执行 ./filebeat -e 可以看到/tmp/access.log（目前文件里只有140.77.188.102 - - [25/Jun/2022:05:11:33 +0800] "GET /api/ss/api/v1/login/getBas......这一行）文件里原有的日志就被读取并输出了。

二、Filebeat 输出过滤

在输出的内容中，删除包含INFO的行，如下，在processors下增加- drop_event: 模块，提供一个正则表达式，来去除对应的事件（文件中的行）。

processors:
  - drop_event:
      when:
        regexp:
          message: "^INFO"

测试步骤：
修改完上述filebeat.yml配置文件后，先执行./filebeat -e 保持控制台不动，编辑/tmp/access.log， 添加如下行，看控制台输出：

添加上述2行之后，控制台输入如下，只输出了NOT INFO行，而符合正则表达式的INFO开头的行则没有被输出。（各位可以尝试其他正则进行测试）