Filebeat 是一个轻量级的日志收集器，用于将日志文件发送到 Elasticsearch 或 Logstash 进行存储和分析。要自定义 Filebeat 的日志格式，您需要修改 Filebeat 的配置文件 filebeat.yml。以下是一些关于如何自定义日志格式的步骤：

1. 打开 Filebeat 配置文件 filebeat.yml。该文件通常位于 Filebeat 安装目录的 config文件夹中，例如：/etc/filebeat/filebeat.yml（Linux）或 C:\ProgramData\Elastic\Filebeat\config\filebeat.yml（Windows）。

2. 在 filebeat.yml文件中，找到 filebeat.inputs部分。这里定义了 Filebeat 如何读取日志文件。例如，如果您使用的是 Logstash 输入，配置可能如下所示：

   filebeat.inputs:- type: log  enabled: true  paths:    - /var/log/*.log  processors:  - decode_json_fields:      fields: ["message"]      target: ""      overwrite_keys: true

3. 要自定义日志格式，您需要添加一个 processors部分（如果尚不存在），并在其中添加一个 dissect处理器。dissect处理器允许您定义一个模式，用于解析和提取日志中的字段。例如，假设您的日志格式如下：

   2021-08-01 12:34:56 INFO [user@example.com] User logged in: user_id=1234, session_id=5678

   您可以添加以下 dissect处理器来提取 timestamp、log_level、email、user_id和 session_id字段：

   processors:- dissect:    tokenizer: '%{ timestamp} %{ log_level} [%{ email}] User logged in: user_id=%{ user_id}, session_id=%{ session_id}'    field: "message"    target_prefix: ""

4. 在 dissect处理器中，tokenizer参数定义了解析日志的模式。%{ field}表示从日志中提取的字段。您可以根据需要添加或删除字段。

5. field参数定义了要解析的日志字段。在上面的示例中，我们使用 message字段作为输入。

6. target_prefix参数定义了解析后的字段添加到事件中的前缀。在上面的示例中，我们将其设置为空字符串，这意味着解析后的字段将直接添加到事件中，而不是嵌套在一个名为 target_prefix的字段中。

7. 保存 filebeat.yml文件并重新启动 Filebeat 以应用更改。

请注意，这只是一个简单的示例。您可能需要根据您的日志格式和需求调整 dissect处理器的配置。在某些情况下，您可能还需要使用其他处理器，例如 grok或 mutate，以进一步处理和转换日志数据。