背景:
我们rsyslog创建了日志文件目录,例如:/var/log/rsyslog/SERVER-NAME/LOG-DATE/LOG-FILE-NAME
因此,多个服务器将其不同日期的日志溢出到一个中心位置。
现在要读取这些日志并将它们存储在 elasticsearch 中以进行分析,我的 logstash 配置文件如下所示:
file{
path => /var/log/rsyslog/**/*.log
}
问题:
现在我们要在特定日期之后读取日志文件。例如,如果目录/var/log/rsyslog中有 2015 年 4 月、5 月、6 月的日志,并且我想在特定日期之后读取所有日志,请说 > 15.05.2015。
这可以使用logstashfile输入来实现吗?
编辑:
阅读更多内容后,我想使用输入无法实现,file而是可以使用drop过滤器在日期后删除日志。
正则表达式删除日期 > 15.05.2015?? 如何使用regex?