在Debian上自定义Filebeat的日志格式，你需要修改Filebeat的配置文件filebeat.yml。以下是具体步骤：

1. 打开终端。

2. 使用文本编辑器打开filebeat.yml文件。例如，你可以使用nano编辑器：

   sudo nano /etc/filebeat/filebeat.yml
   

3. 在filebeat.yml文件中，找到output.elasticsearch部分。如果你还没有配置输出到Elasticsearch，请添加以下内容：

   output.elasticsearch:
     hosts: ["localhost:9200"]
     index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
   

   请确保将localhost:9200替换为你的Elasticsearch实例的地址和端口。

4. 在filebeat.yml文件中，找到fields部分。如果没有这个部分，请在filebeat.yml文件中添加一个。在这个部分，你可以定义你想要的任何自定义字段。例如：

   fields:
     custom_field: "custom_value"
   

5. 在filebeat.yml文件中，找到processors部分。如果没有这个部分，请在filebeat.yml文件中添加一个。在这个部分，你可以添加一个名为dissect的处理器来自定义日志格式。例如，如果你的日志格式如下：

   2021-08-01 12:34:56,789 INFO [main] com.example.MyClass - My log message
   

   你可以使用以下配置来解析这个日志格式：

   processors:
     - dissect:
         tokenizer: '%{timestamp} %{log_level} [%{thread}] %{class} - %{message}'
         field: 'message'
         target_prefix: ''
   

   这将会创建一个新的字段message.timestamp、message.log_level、message.thread、message.class和message，分别包含解析后的时间戳、日志级别、线程、类名和消息。

6. 保存并关闭filebeat.yml文件。

7. 重新启动Filebeat以应用更改：

   sudo systemctl restart filebeat
   

现在，Filebeat应该会使用你自定义的日志格式和字段。你可以在Kibana中查看这些自定义字段，或者将它们用于搜索和可视化。