我正在尝试使用更新的配置重新解析旧日志;有没有办法做到这一点?
我正在使用两台服务器:一台使用logstash-forwarder(lumberjack),另一台使用elasticsearch和logstash。 (*所有这些都是最新版本。)
我已经看到:http://logstash.net/docs/1.4.2/inputs/file#sincedb_path并且在转发器服务器上没有sincedb。 (*我知道sincedb是可选的。)
因此,如果sincedb是可选的,尾部位于何处 - 显然正在跟踪日志,但我找不到位置。
提前致谢!
答案 0 :(得分:2)
您发送的文档链接用于logstash,而不是logstash-forwarder。
logstash-forwarder将其注册表放在.logstash-forwarder文件中。有时这个文件位于启动目录中(如果你手动启动它可能会改变!),但检查你的启动脚本。
logstash-forwarder将处理与给定模式匹配的所有活动文件。较旧版本将“活动”定义为“24小时内”;如果你从源代码编译,你可以在配置中设置它(我相信“死时间”)。否则,您可能必须更新文件的修改时间(UNIX:touch)。
请注意,这不会更新Elasticsearch中的任何记录 - 将插入新文档。
祝你好运!