ELK重新加载跳过的旧文件

sunny
日志系统28,423字数 367阅读1分13秒阅读模式

如何重新将跳过的旧文件导入到ELK。logstash-forwarder如何从新读取文件不知道该如何设置,有知道的朋友请告之下。 

# cat /ttlsa/data/www.ttlsa.com.log | /opt/logstash-forwarder/bin/logstash-forwarder -config ttlsa.conf -spool-size 100 -log-to-syslog

ttlsa.conf 文件内容如下:文章源自运维生存时间-https://www.ttlsa.com/log-system/howto-elk-reload-the-skipped-old-files/ 

{
  "network": {
    "servers": [ "localhost:5000" ],
    "timeout": 15,
    "ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt"
  },
  "files": [
    {
      "paths": [ "-" ],
      "fields": { "type": "logfile" }
    }
   ]
}
文章源自运维生存时间-https://www.ttlsa.com/log-system/howto-elk-reload-the-skipped-old-files/文章源自运维生存时间-https://www.ttlsa.com/log-system/howto-elk-reload-the-skipped-old-files/
weinxin
我的微信
微信公众号
扫一扫关注运维生存时间公众号,获取最新技术文章~
sunny
  • 本文由 发表于 07/11/2015 01:00:48
  • 转载请务必保留本文链接:https://www.ttlsa.com/log-system/howto-elk-reload-the-skipped-old-files/
  • Elasticsearch
  • ELK
  • logstash
  • logstash-forwarder
评论  2  访客  2
    • fuyicg
      fuyicg 9
      1F

      给logstash开debug模式,能看到它是把读取状态存到home目录下一个状态文件的。把这个状态文件删掉,重启logstash就会重新开始抓。

        • 默北
          默北 6
          B1

          @ fuyicg 嗯。 不过logstash1.5版本状态文件不是在home目录下的。

      评论已关闭!