0

我在 ubuntu 14.04 上安装了 logstash、elasticsearch、kibana,我使用 cca 40 logstash-forwarders(ubuntu 12.04 和 14.04),我每秒能够接收 cca 300-400logs,我想从“今天”开始收获日志,不是较旧的原木。几周前我运行了logstash,但它仍然只收获较旧的原木,我想实时收获更多原木。

我尝试了设置过滤器,与策展人合作,我尝试用谷歌搜索它,但我仍然没有解决方案。

不幸的是,就我而言,轮换旧日志是不可能的,因为我们必须存储旧日志以进行安全审计。

4

1 回答 1

0

如果您的日志不在单独的文件中(您可能会想出一个 glob 模式来限制索引的内容),那么我建议计算“滞后”(事件的时间戳和当前时间戳之间的差异) . 如果延迟高于您的阈值,则放弃该事件。{}

于 2015-07-13T20:48:43.583 回答