我已经使用logstash处理了一个文件,并将其推送到elasticsearch使其正常工作。但是,我必须对logstash conf文件进行一些更改,并且需要再次处理该日志文件。我删除了es上的索引,然后重新启动了logstash。我没有在Elasticsearch中看到数据,好像文件没有被处理。
1. I am using logstash version 2.3.2
2. I deleted _sincedb file, restarted logstash, no log
3. I checked the conf file syntax via --configcheck and it is ok.
有什么想法我在这里想念的吗?
我看不到创建任何索引,es中没有数据。我多次尝试了这些步骤。
最佳答案
Logstash足够聪明,可以记住它已经处理了您给他的每个文件并将其光标存储在sincedb文件中的哪一行。
因此,除了path设置之外,您还需要在file输入中指定另外两个参数,以确保每次运行都对文件进行重新处理:
file {
path => "/path/to/file"
start_position => "beginning"
sincedb_path => "/dev/null"
}
关于elasticsearch - 无法使用Logstash版本2.3.2重新处理日志文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37551000/