配置logstash採取更新值

我已經連接logstash，Elasticsearch和Kibana。它一切正常。配置logstash採取更新值

我用logstash來取tomcat日誌。

input { 
file { 
    path => "/tom_logs/*" 
    type => "tomcat" 
    start_position => "end" 
} 
}

一旦我更新了日誌文件，它將文件中的整個日誌取代爲更新的日誌。我只想加載上次更新的日誌。

任何人都可以幫助我。

在此先感謝

Logstash創建一個sincedb文件來維護每個輸入文件的位置。通常是$ HOME/.sincedb。你應該檢查這個文件是否被創建/可以創建。 – mp911de 2015-02-10 20:47:43

您的問題有點奇怪，因爲我從來沒有經歷過它。爲了確保我理解正確：當有新日誌出現時，logstash會再次開始分析文件中的所有日誌？

您正確指定了start_position=>"end"這實際上是默認選項。在這種情況下，logstash自啓動以來只能考慮文件中的新更改（如此，新日誌）。

所以，我覺得這個「錯誤」的問題，是不是在logstash但在tomcat的「如何」寫日誌......但是，如果我是你，我會盡量只指定path=>"tom_logs/*.log"而不是*。

希望它會有所幫助。

2015-02-06 14:06:53 Kuaaaly

回答