背景:
我们rsyslog创建日志文件目录,如:/var/log/rsyslog/SERVER-NAME/LOG-DATE/LOG-FILE-NAME
因此,多个服务器将不同日期的日志分发到中心位置。
现在阅读这些日志并将它们存储在elasticsearch中进行分析我的logstash配置文件是这样的:
file{
path => /var/log/rsyslog/**/*.log
}
ISSUE:
现在我们想要在特定日期之后读取日志文件。例如,如果在目录/var/log/rsyslog中有2015年4月,5月,6月的日志,我想在特定日期之后阅读所有日志说> 15.05.2015。
可以使用logstash file输入来实现吗?
修改
阅读更多后我想使用file输入无法实现,我可以使用drop过滤器在日期之后删除日志。
正则表达式删除日期> 15.05.2015 ??如何使用regex ??