Logstash配置更改 - 重新解析舊日誌

Question

我試圖用較新的配置重新解析舊日誌;有沒有辦法做到這一點？

我使用兩臺服務器：一臺使用logstash-forwarder（lumberjack），另一臺使用elasticsearch和logstash。 （*所有這些都是最新版本。）

我看過：http://logstash.net/docs/1.4.2/inputs/file#sincedb_path並且在轉發器服務器上沒有sincedb。 （*我知道sincedb是可選的。）

所以，如果sincedb是可選的，尾部位於哪裏 - 顯然日誌正在跟蹤，但我找不到在哪裏。

在此先感謝！

Answer 1

您發送的文檔鏈接針對的是logstash，而不是logstash-forwarder。

logstash-forwarder將其註冊表放在.logstash-forwarder文件中。有時候這個文件在啓動目錄下（如果你手動啓動它，這個文件可能會改變！），但是檢查你的啓動腳本。

logstash-forwarder將處理與給定模式相匹配的所有活動文件。舊版本在「24小時內」定義爲「有效」;如果你從源代碼編譯，你可以在配置中設置它（我相信「死亡時間」）。否則，您可能需要更新文件上的修改時間（UNIX：touch）。

請注意，這不會更新Elasticsearch中的任何記錄 - 將插入新文檔。

祝你好運！