Изменение конфигурации Logstash Повторная обработка старых журналов

Я пытаюсь повторно проанализировать старые журналы с более новой конфигурацией; Есть какой-либо способ сделать это?

Я использую два сервера: один с logstash-forwarder (лесоруб) и один с elasticsearch и logstash. (*Все это самые последние выпуски.)

Я видел: http://logstash.net/docs/1.4.2/inputs/file#sincedb_path и не имеетеncedb на сервере пересылки. (* Я знаю, что с тех пор БД необязательна.)

Итак, если база данных не является обязательной, то где находится хвост -- очевидно, журналы отслеживаются, но я не могу найти, где именно.

Заранее спасибо!


logging logstash logstash-forwarder elasticsearch
person Red    schedule 24.02.2015    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Ссылка на документацию, которую вы отправили, предназначена для logstash, а не для logstash-forwarder.

logstash-forwarder помещает свой реестр в файл .logstash-forwarder. Иногда этот файл находится в каталоге запуска (который может измениться, если вы запускаете его вручную!), но проверьте свой сценарий запуска.

logstash-forwarder будет обрабатывать любые активные файлы, которые соответствуют заданному шаблону. В более старых версиях «активен» как «в течение 24 часов»; если вы компилируете из исходного кода, вы можете установить это в конфигурации («мертвое время», я полагаю). В противном случае вам, возможно, придется обновить время модификации файла (UNIX: touch).

Обратите внимание, что это не приведет к обновлению записей в Elasticsearch — будут вставлены новые документы.

Удачи!

person Alain Collins    schedule 26.02.2015