我们部署的系统收集“常规”普通旧log4j日志文件。由于它是一个分布式系统,因此有5-10个。出现问题时,可以将日志文件作为zip文件获取。
我发现this docker ELK image效果很好。但是,这对我来说是新的,所有示例都讨论了使用诸如filebeat之类的东西来向ElasticSearch播放日志信息。我想知道是否存在一种方法将现有的一组日志文件“重放”到这样的ELK容器实例中?或者这是我需要建立的东西吗?
答案 0 :(得分:0)
我不确定您为什么不想使用filebeat,因为它可以优雅地处理网络中断并保证日志传送。我会使用filebeat,即使它只是一个本地安装(与ELK相同的域),如果你不想在每个日志上安装filebeat,我只会从你的系统(用rsync或手动)将收集的日志提供给它要发送到主logstash实例的源服务器。
另一方面,有一个非常基本的logstash文件输入插件,可用于直接阅读:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html