我的日志文件内容如下
55.3.244.1 GET /index.html 15824 0.043
55.3.244.2 GET /index.html 15820 0.049
55.3.244.3 GET /index.html 16780 0.053
55.3.244.4 GET /index.html 16784 0.056
55.3.244.5 GET /index.html 17689 0.059
我的conf文件就像这样
input{
file{
path => "C:/ELK/Test/http.log"
start_position => "beginning"
}
}
filter{
grok{
match => {"message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"}
}
}
output{
stdout{codec => rubydebug}
}
当我执行下面的命令时,它通过跳过最后一行显示日志数据55.3.244.5 GET /index.html 17689 0.059。
C:\ELK\logstash-5.1.2\bin>logstash.bat -f test2.conf
在少数论坛中,他们建议在最后一次登录后输入新行。我也试过了。有了这个选项,它正在阅读最后一行并跳过前四个条目!!!!无论如何我不想改变我的输入源文件。
如何克服这个问题?
由于
答案 0 :(得分:0)
好像您在输入中遗漏了ignore_older:
input{
file{
path => "C:/ELK/Test/http.log"
start_position => "beginning"
ignore_older => 0
}
}
瞥一眼thread,可能会有所帮助!