我正在尝试使用更新的配置重新解析旧日志;有什么办法吗?
我正在使用两台服务器:一台使用 logstash-forwarder(伐木工人),一台使用 elasticsearch 和 logstash。(*所有这些都是最新版本。)
我已经看到:http : //logstash.net/docs/1.4.2/inputs/file#sincedb_path 并且转发服务器上没有sincedb。(*我知道 sincedb 是可选的。)
因此,如果 sincedb 是可选的,那么尾部位于哪里——显然正在跟踪日志,但我找不到在哪里。
提前致谢!
您发送的文档链接适用于 logstash,而不是 logstash-forwarder。
logstash-forwarder 将其注册表放在 .logstash-forwarder 文件中。有时此文件位于启动目录中(如果您手动启动它,它可能会更改!),但请检查您的启动脚本。
logstash-forwarder 将处理与给定模式匹配的任何活动文件。旧版本将“活跃”定义为“24 小时内”;如果你从源代码编译,你可以在配置中设置它(“死时间”,我相信)。否则,您可能必须更新文件的修改时间(UNIX:touch)。
请注意,这不会更新 Elasticsearch 中的任何记录 - 将插入新文档。
祝你好运!