elasticsearch 如何在elasticsearch中读取/var/log/wtmp日志

我正在尝试从elasticsearch中的

/var/log/wtmp

读取访问日志

我可以使用

last-F/var/log/wtmp

我已经运行了logstash并将日志发送到elasticsearch，这里是logstash conf文件

input {
  file {
    path => "/var/log/wtmp"
    start_position => "beginning"
  }
}

output {
  elasticsearch {
    host => localhost
    protocol => "http"
    port => "9200"
  }
}

elasticsearch中显示的是

---

G

一旦我用更少的内存打开文件，我只能看到二进制数据。 现在logstash无法理解这些数据。 类似以下的日志存储文件应该可以正常工作-

input { 
  pipe {
    command => "/usr/bin/last -f /var/log/wtmp"
  }
}

output {
    elasticsearch {
    host => localhost
    protocol => "http"
    port => "9200"
    }
}

---

一旦我用更少的内存打开文件，我只能看到二进制数据。 现在logstash无法理解这些数据。 类似以下的日志存储文件应该可以正常工作-

input { 
  pipe {
    command => "/usr/bin/last -f /var/log/wtmp"
  }
}

output {
    elasticsearch {
    host => localhost
    protocol => "http"
    port => "9200"
    }
}

---

Vineth的答案是正确的，但以下配置也适用：

input { pipe { command => "last" } }

last/var/log/wtmp

和

last

完全相同

---

是跟踪用户登录和注销的Unix文件。无法直接读取它们，因为它们不是常规文本文件。但是，有一个

last

命令，它以纯文本显示

/var/log/wtmp

的信息

$ last --help

Usage:
 last [options] [<username>...] [<tty>...]

因此，

last-F/var/log/wtmp

将

/var/log/wtmp

解释为用户名，并且不会打印任何登录信息

-f

标志的作用：

-F, --fulltimes      print full login and logout times and dates

-f, --file <file>    use a specific file instead of /var/log/wtmp

-f，--file使用特定文件而不是/var/log/wtmp

Vineth的答案是正确的，但下面的cleaner配置也适用：

input { pipe { command => "last" } }

last/var/log/wtmp

和

last

完全相同

---

是跟踪用户登录和注销的Unix文件。无法直接读取它们，因为它们不是常规文本文件。但是，有一个

last

命令，它以纯文本显示

/var/log/wtmp

的信息

$ last --help

Usage:
 last [options] [<username>...] [<tty>...]

因此，

last-F/var/log/wtmp

将

/var/log/wtmp

解释为用户名，并且不会打印任何登录信息

-f

标志的作用：

-F, --fulltimes      print full login and logout times and dates

-f, --file <file>    use a specific file instead of /var/log/wtmp

-f，--file使用特定文件而不是/var/log/wtmp

100%付费，感谢您的快速响应@Vineth Mohan 100%付费，感谢您的快速响应@Vineth Mohan