使用logstash收集日志文件中缺少的一些行

如果我们在一个固定的时间段内停止日志存储并重新启动它，如何收集日志文件的新行？知道：

start_position => 'end'

，文件输入的start_position参数仅控制Logstash第一次遇到文件时发生的情况。第一次联系后，Logstash只使用存储在sincedb文件中的内部书签

换句话说，重启或关闭Logstash一段时间通常是可以的。当它再次启动时，它将接收所有信息。但有两个警告：

如果日志文件通过重命名操作进行旋转，这在大多数情况下是默认操作，而Logstash处于关闭状态，并且文件名模式没有覆盖旋转后的文件，则最后一行将丢失。出于这个原因，让Logstash跟踪第一个旋转的文件也是一个很好的方法，因此，如果您想跟踪/var/log/syslog，并且该文件每天早上都旋转到/var/log/syslog.1，那么明智的做法是同时包含这两个文件。 如果收到SIGTERM信号，Logstash 1.4.2不会正常关闭。当前在20消息缓冲区中的所有消息都将丢失。此外，我不确定sincedb文件是否已刷新。发送SIGINT将确保正常关机。

---

你的回答似乎很有趣，但作为一个初学者，我真的不太懂，我不知道你能否给我举一些例子，也许我会理解你。谢谢lot@Morito对不起，我不明白。什么是不清楚的，你在寻找什么样的例子？默认情况下，Logstash会从日志文件的末尾不断拾取新行，因此不需要特殊配置。非常感谢您为我提供的时间，在这一刻，它会给我带来任何问题，可能以后会出现，但现在我被困在这里，我不知道您是否可以帮助我：