Question

我有一个每小时生成日志文件的系统，例如。 log_20160522_2200.log，log_20160522_2300.log，log_20160523_0000.log。

截至目前，我每小时都会安排logstash执行来处理新文件。

如何指定输入过滤器，以便我不必每小时通过cron重新安排logstash。

很明显，我是新手，因此请耐心等待。 THX。

Answer 1

如果日志位于同一文件夹中，您可以将它们称为＆＃34; log _ * .log＆＃34;。您需要input filter使用file option。option start_position。

示例：

input {
      file { 
            path => "log_*.log"
      }
 }

默认情况下，这将检查文件末尾的新行。如果要从文件的开头开始阅读。您需要使用{{3}}。

示例：

 input { 
       file { 
             path => "log_*.log" 
             start_position => "beginning"
       } 
 }