Изменение конфигурации Logstash - повторная проверка старых журналов

Question

Я пытаюсь повторно разобрать старые журналы с более новой конфигурацией; Есть какой-либо способ сделать это?

Я использую два сервера: один с logstash-forwarder (лесорубом) и один с elasticsearch и logstash. (* Все это самые последние выпуски.)

Я видел: http://logstash.net/docs/1.4.2/inputs/file#sincedb_path и не имел гребня на сервере-пересылке. (* Я знаю, что sincedb не является обязательным.)

Так что если sincedb не является обязательным, где находится хвост - очевидно, журналы отслеживаются, но я не могу найти где.

Заранее благодарен!

Answer 1

Ссылка на документацию, которую вы отправили, предназначена для logstash, а не для logstash-forwarder.

logstash-forwarder поместил свой реестр в файл .logstash-forwarder. Иногда этот файл находится в каталоге запуска (который может измениться, если вы начинаете его вручную!), Но проверьте свой сценарий запуска.

logstash-forwarder будет обрабатывать любые активные файлы, соответствующие заданному шаблону. Старые версии определены как «активные» как «в течение 24 часов»; если вы компилируете из источника, вы можете установить это в конфигурации («мертвое время», я полагаю). В противном случае вам может потребоваться обновить время модификации файла (UNIX: touch).

Обратите внимание, что это не будет обновлять записи в Elasticsearch - будут вставлены новые документы.

Удачи вам!