我仍然对ELK(elasticsearch,logstash kibana)堆栈很新,我在制作我希望在kibana中显示的日志时遇到了一些问题。
我所看到的是较旧的无关日志。
当我在嵌入模式下运行弹性搜索或运行独立弹性搜索时,我看到了它。
当我使用out to标准输出它时,它是我期望的日志,但是当我在kibana上查看它时,它甚至没有相关日志。
我尝试删除自db文件以来仍无法提供帮助。
是否有一个我可能需要删除的额外文件来缓存索引?
任何帮助将不胜感激!!!
编辑:这是我的logstash conf。
input
{
file
{
path=> ["/Users/me/logs/m1/2014-05-21/consumer/bp1standalone2-0/*"]
sincedb_path => "./sincebb.xxx"
start_position => "beginning"
}
}
filter
{
grok
{
patterns_dir => "../patterns"
match => [ "message", "%{CONSUMERLOGPARSER}" ]
}
}
output
{
elasticsearch
{
embedded => true
}
}
答案 0 :(得分:0)
没有额外的缓存要删除,而且是自从db文件存储日志文件中已经到达logstash的位置。但是,如果选项start_position是"开始"如你所知,自从db文件被忽略,文件从头开始处理。