我删除了一个索引。它包含来自某个文件的日志。即使删除了该索引,为什么logstash / elasticsearch在创建新索引时没有读取相同的日志文件?谁负责阅读日志-ES或LS?
答案 0 :(得分:0)
Logstash会读取您的日志并将其放入elasticsearch中。有一种叫做sincedb的东西,Logstash用它来跟踪它已经处理过的文件。如果删除它并重新启动logstash,它应该重新处理所有日志。
如果您要重新分析特定日志,最简单的方法是执行此操作:
s/[()]//g
这为它提供了一个新的inode,并使logstash认为它是一个新的日志。