Logstash配置更改 - 重新解析旧日志

Question

我试图用较新的配置重新解析旧日志;有没有办法做到这一点？

我使用两台服务器：一台使用logstash-forwarder（lumberjack），另一台使用elasticsearch和logstash。 （*所有这些都是最新版本。）

我看过：http://logstash.net/docs/1.4.2/inputs/file#sincedb_path并且在转发器服务器上没有sincedb。 （*我知道sincedb是可选的。）

所以，如果sincedb是可选的，尾部位于哪里 - 显然日志正在跟踪，但我找不到在哪里。

在此先感谢！

Answer 1

您发送的文档链接针对的是logstash，而不是logstash-forwarder。

logstash-forwarder将其注册表放在.logstash-forwarder文件中。有时候这个文件在启动目录下（如果你手动启动它，这个文件可能会改变！），但是检查你的启动脚本。

logstash-forwarder将处理与给定模式相匹配的所有活动文件。旧版本在“24小时内”定义为“有效”;如果你从源代码编译，你可以在配置中设置它（我相信“死亡时间”）。否则，您可能需要更新文件上的修改时间（UNIX：touch）。

请注意，这不会更新Elasticsearch中的任何记录 - 将插入新文档。

祝你好运！