以下是Filebeat在Debian上解析日志的实用技巧：

1. 监控特定日志文件
   在/etc/filebeat/filebeat.yml中通过paths指定路径，如监控Nginx日志：

   filebeat.inputs:
   - type: log
     paths: ["/var/log/nginx/access.log", "/var/log/nginx/error.log"]
   

2. 解析JSON格式日志
   启用json模块，设置message_key和keys_under_root：

   filebeat.inputs:
   - type: log
     json.message_key: "log"  # 指定JSON中消息字段
     json.keys_under_root: true  # 将JSON字段提升到根级别
   

3. 处理多行日志
   用multiline模块匹配日志行起始模式（如日期），match: after合并多行：

   multiline:
     pattern: '^\d{4}-\d{2}-\d{2}'  # 匹配日期开头的行
     negate: true
     match: after
   

4. 条件判断处理不同格式
   通过if处理器区分日志格式，例如解析含特定字段的日志：

   processors:
   - if: contains(message, "json_field")
     then:
       - json:
           message_key: "json_field"
   

5. 输出到Elasticsearch或文件
   配置输出目标，如输出到Elasticsearch：

   output.elasticsearch:
     hosts: ["localhost:9200"]
   

   或输出到文件：

   output.file:
     path: "/tmp/filebeat.log"
   

6. 启用自动发现与监控
   使用autodiscover动态监控日志文件变化：

   filebeat.autodiscover:
     providers:
     - type: file
       paths: ["/var/log/*.log"]
   

7. 性能优化

   • 调整batch_size和worker数量提升吞吐量。
   • 使用close_inactive参数关闭长时间未更新的文件句柄。

8. 集成ELK Stack可视化
   将日志发送至Elasticsearch后，通过Kibana构建仪表盘，实现日志搜索、分析和可视化。

以上配置可根据实际日志格式和需求调整，参考官方文档获取最新参数说明。