Logstash 日志文件输入：sincedb_路径

重新启动Logstash时，有时会发现Logstash与日志事件重复。我想知道应用

start\u position

，

sincedb\u path

，

sincedb\u write\u interval

配置选项的正确方法是什么

• 当多个文件位于我下面的示例中的同一位置时会发生什么情况

  /home/tom/testData/*.log

• 发生文件旋转时会发生什么情况，例如

  XXX.log

  文件重命名为

  XXX-.log

  ，并创建一个新的

  XXX.log

  文件。在本例中，名称不会更改，但inode会更改

如果有人能解释一下，我将不胜感激

input {
           file {
             path => "/home/tom/testData/*.log"
             type => "log"
             start_position => "beginning"
             sincedb_path => "/persistent/loc"        
             sincedb_write_interval => 10
               }
       }

开始位置（开始或结束）仅用于logstash尚未看到的文件。使用“开始”的唯一原因是当您尝试加载旧文件时

sincedb_path只需要是logstash对注册表具有写入权限的目录

sincedb_write_interval定义日志存储写入sincedb注册表的频率。一个更大的值会让你在崩溃的时候处于危险之中

当您有多个与您的glob匹配的文件时，logstash通过在注册表中有多个条目来分别跟踪它们

注册表包含inode编号，因此logstash知道在这种类型的旋转中要做什么。

sincedb\u path

，而不是目录。此文件所在的目录必须可由

logstash

写入。