模块.md

模块是可选的。如果您使用的是不受支持的日志类型，或者您想使用不同的设置，您可以决定手动配置输入。

模块提供了一种快速开始处理常见日志格式的方法。它们包含默认配置、Elasticsearch ingest pipeline definitions 和Kibana仪表板，可帮助您实施和部署日志监控解决方案。

您可以在modules.d目录（推荐）或FileBeat配置文件中配置模块。

在启用模块的情况下运行FileBeat之前，请确保您还设置了使用Kibana仪表板的环境。有关详细信息，请参阅快速入门：安装和配置。

配置modules.d中的模块

modules.d 目录包含FileBeat中所有可用模块的默认配置。要在 modules.d 下启用或禁用特定模块配置，请运行模块启用或模块禁用命令。例如：

./filebeat modules enable nginx

默认配置假定您的数据位于操作系统预期的位置，并且模块的行为适合您的环境。要更改默认行为，请配置变量设置。有关可用设置的列表，请参阅Modules下的文档。

对于高级用例，您还可以覆盖输入设置。

您可以在运行时使用 –modules flag 标志启用模块。如果您刚开始并想尝试，这很有用。命令行指定的任何模块都将与配置文件或modules.d目录中启用的任何模块一起加载。如果有冲突，将使用命令行指定的配置。

在filebeat.ymlfile中配置模块

如果可能，您应该使用modules.d目录中的配置文件。

但是，如果您已经从以前版本的FileBeat升级，并且不想将模块配置移动到modules.d目录，则直接在配置文件中配置模块是一种实用的方法。您可以继续在filebeat.yml文件中配置模块，但您将无法使用模块命令来启用和禁用配置，因为该命令需要modules.d布局。

要在filebeat.yml配置文件中启用特定模块，请将条目添加到filebeat.modules列表中。列表中的每个条目都以破折号（-）开头，后跟该模块的设置。

以下示例显示了运行nginx、mysql和system模块的配置：

filebeat.modules:
- module: nginx
  access:
  error:
- module: mysql
  slowlog:
- module: system
  auth:

覆盖输入设置

在后台，每个模块都会启动FileBeat输入。高级用户可以添加或覆盖任何输入设置。例如，您可以在模块配置中将close_eof设置为true：

- module: nginx
  access:
    input:
      close_eof: true

或者在使用命令行运行FileBeat时：

-M "nginx.access.input.close_eof=true"

您可以使用通配符一次更改多个 modules/filesets 的变量或设置。例如，您可以为nginx模块中的所有filesets启用close_eof：

-M "nginx.*.input.close_eof=true"

您还可以为任何模块创建的所有输入启用close_eof：

-M "*.*.input.close_eof=true"