老日志不会通过logstash导入ES
当我启动logstash时,旧日志不会导入ES。
ES中仅记录新的请求日志。
现在我已经在文档中看到了。
即使设置了start_position=>"beginning",也不会插入旧日志。
这仅在我在Linux上运行logstash时发生。
如果我使用相同的配置运行它,则会导入旧日志。
我什至不需要start_position=>"beginning"在Windows上进行设置。
有什么想法吗?
问题答案:
当您读取Logstash的输入日志时,Logstash会保留有关此文件上读取位置的记录,这称为sincedb。
Where to write the sincedb database (keeps track of the current position of monitored log files).
The default will write sincedb files to some path matching "$HOME/.sincedb*"
因此,如果要导入旧的日志文件,则必须删除$ HOME中的所有.sincedb *。然后,您需要设置
start_position =>“开始”
在您的配置文件中。
希望这可以帮到你。
-
本文向大家介绍Nodejs Express 通过log4js写日志到Logstash(ELK),包括了Nodejs Express 通过log4js写日志到Logstash(ELK)的使用技巧和注意事项,需要的朋友参考一下 Log4j 是一个使用 Java 语言编写的,可靠、快速、灵活的日志框架(API),使用 Apache Software License 授权。它被移植到 C、C++、C#、P
-
我在Mac OSX上运行filebeat以及sebp/elk docker镜像。当我在具有完全相同配置的Windows机器上尝试相同的操作时,日志从Filebeat无缝地传送到Logstash。在windows上,当我在启动elk docker容器之前运行filebeat时,它会不断重试以建立与Logstash的连接。在Mac上,filebeat正在启动任何连接。它甚至不会尝试连接到在端口5044
-
问题内容: 我是ELK堆栈的新手。我有一个文件拍服务,将日志发送到logstash,并在logstash中使用过滤器,将数据推送到索引。 我正在使用筛选器来解析数据。 我的问题是,我希望将字段名称及其值存储在elasticsearch索引中。我的日志的不同版本如下: 我想要的弹性索引字段如下: client_ip => type必须与kibana用于IP映射的内容兼容。 时间戳=>日期时间格式。=
-
我使用的是Spring Boot(1.5.4)。我希望通过RabbitMQ以JSON格式而不是纯文本将服务中的日志发送到Logstash。这将使我不必在Logstash端设置过滤器,以便可以在应用程序端控制格式化(使用Logback编码器)。 我知道RabbitMQ的Spring logback AMQP Appender,但是它使用的是布局(纯文本),而不是格式化的JSON。我想使用LogSta
-
问题内容: 我想从dnsmasq收集和处理日志,因此决定使用ELK。Dnsmasq用作DHCP服务器和DNS解析器,因此它为这两种服务创建日志条目。 我的目标是将所有包含请求者IP,请求者主机名(如果有)和请求者mac地址的DNS查询发送到Elasticsearch。这样一来,无论设备IP是否更改,我都可以按mac地址对请求进行分组,并显示主机名。 我想做的是以下几点: 1)阅读以下条目: 2)临
-
我正在使用Python日志模块,并希望禁用由我导入的第三方模块打印的日志消息。例如,我使用的是如下所示: 当我执行logger.debug时,它会输出我的调试消息(“my Message!”),但它也会从我导入的任何模块中输出调试消息(如请求和许多其他东西)。 我只想看到我感兴趣的模块的日志消息。有没有可能让日志模块做到这一点?