1. 首页
  2. 问答
  3. ELK堆栈 - 如何将所有旧日志回填到elasticsearch?

ELK堆栈 - 如何将所有旧日志回填到elasticsearch?

2017-02-09 101 views
1

我已经设置了ELK + filebeat,并且要将所有旧日志回填到logstash/ES中。我怎样才能做到这一点?人提到删除sincedb文件和/或增加这个我logstash input.conf中:ELK堆栈 - 如何将所有旧日志回填到elasticsearch?

file { 
     path => "/var/log/xx/xx.log" 
     start_position => "beginning" 
     sincedb_path => "/dev/null" 
    }

但我把它添加到我的输入的conf然后重新启动logstash,仍然没有看到Kibana旧日志。我也找不到每个人都提到的sincedb_ *文件。我的ELK节点是RHEL服务器。

感谢

来源

2017-02-09 Celeste Manu

回答

0

如果这些文件是旧的,这是一个好主意,还添加ignore_older => 0到你的配置。

file { 
     path => "/var/log/ptsfd-mms/ptsfd-mms.log" 
     start_position => "beginning" 
     sincedb_path => "/dev/null" 
     ignore_older => 0 
    }

来源

2017-02-09 21:12:22 Val

+0

嗨瓦尔,感谢您的反馈。将该参数添加到我的配置并重新启动logstash和filebeat没有将我的日志回填到Kibana中。 –

+0

你可以用'--debug'启动logstash并共享你的日志吗? – Val

相关问题

 相关问题