elasticsearch 配置logstash以获取更新的值,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" /> elasticsearch 配置logstash以获取更新的值,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 配置logstash以获取更新的值

elasticsearch 配置logstash以获取更新的值

logstash kibana

elasticsearch 配置logstash以获取更新的值,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana,我连接了logstash、Elasticsearch和Kibana。一切都很好 我用logstash拿走tomcat的日志 input { file { path => "/tom_logs/*" type => "tomcat" start_position => "end" } } 一旦我更新了日志文件,它就会将整个日志记录在文件中,而不是更新后的日志。我只想加载上次更新的日志 谁来帮我 提前谢谢你的问题有点奇怪,因为我从未经历过。为了确保我理解正

我连接了logstash、Elasticsearch和Kibana。一切都很好

我用logstash拿走tomcat的日志

input {
file {
    path => "/tom_logs/*"
    type => "tomcat"
    start_position => "end"
}
}
一旦我更新了日志文件,它就会将整个日志记录在文件中,而不是更新后的日志。我只想加载上次更新的日志

谁来帮我

提前谢谢

你的问题有点奇怪,因为我从未经历过。为了确保我理解正确:当一个新日志出现时,logstash会再次开始分析文件中的所有日志吗

您正确地指定了
start\u position=>“end”
,这实际上是默认选项。在这种情况下,LogSTASH必须只考虑文件启动后的新变化(因此,新日志)。 所以,我认为这个“bug”的问题不在于日志库,而在于tomcat如何编写日志。。。但是如果我是你,我会尝试指定
path=>“tom_logs/*.log”
而不是只指定
*

希望能有所帮助。

Logstash创建一个sincedb文件,以保持每个输入文件的位置。通常是
$HOME/.sincedb
。您应该检查是否已创建/可以创建此文件。