我已经使用logstash处理了一个文件并将其推送到elasticsearch它工作。但是,我不得不对logstash conf文件进行一些更改,并需要再次处理日志文件。我删除了es上的索引并重新启动了logstash。我没有在elasticsearch中看到数据,看起来文件没有被处理。
1. I am using logstash version 2.3.2
2. I deleted _sincedb file, restarted logstash, no log
3. I checked the conf file syntax via --configcheck and it is ok.
我在这里缺少什么想法?
我没有看到任何索引创建,es中没有数据。我多次尝试这些步骤。
答案 0 :(得分:1)
Logstash非常智能,可以记住它已经处理了您已经处理过的每个文件的哪一行,并将该光标存储在sincedb文件中。
因此,除path设置外,您还需要在file输入中指定另外两个参数,以确保每次运行时都重新处理该文件:
file {
path => "/path/to/file"
start_position => "beginning"
sincedb_path => "/dev/null"
}