我是logstash的新手,在我的手中,我可以看到logstash不处理日志文件的最后一行。
我的日志文件很简单10行,我已配置过滤器来处理一个/两个字段并将json结果输出到一个新文件。
因此,当logstash运行时,我打开受监控的文件,并在文件末尾添加一行并保存。什么都没发生。现在我再添加一行,前一个事件显示在输出文件中,类似于下一个事件。
如何解决此问题?我的usecase / config有问题吗?
# The # character at the beginning of a line indicates a comment. Use
# comments to describe your configuration.
input {
file {
path => "C:\testing_temp\logstash-test01.log"
start_position => beginning
}
}
# The filter part of this file is commented out to indicate that it is
# optional.
filter {
grok {
match => { "message" => "%{IP:clientip} pssc=%{NUMBER:response} cqhm=%{WORD:HTTPRequest}"}
}
geoip {
source => "clientip"
}
}
output {
file {
path => "C:\testing_temp\output.txt"
}
}
答案 0 :(得分:0)
请确保在手动插入时在行尾添加换行符。 Logstash会在检测到行已完成"
时立即接收您的更改。你的用例还可以。如果你添加:
stdout { codec => rubydebug }
在输出部分,您将立即在控制台中看到事件(非常适合调试/测试)。