文章目录
处理的都是日志,在之前的文章 ELK(四):Logstash的安装及使用介绍过溢写基础,本篇继续深入,主要讲解的就是input下的file的参数。
##最简单的配置文件
input {file {path => "E:/software/logstash-1.5.4/logstash-1.5.4/data/*"}
}
filter {}
output {stdout {}
}
注意:
- 文件的路径名需要时绝对路径
- 支持globs写法
- 如果想要监听多个目标文件可以改成数组
input {file {#监听文件的路径path => ["E:/software/logstash-1.5.4/logstash-1.5.4/data/*","F:/test.txt"]#排除不想监听的文件exclude => "1.log"#添加自定义的字段add_field => {"test"=>"test"}#增加标签tags => "tag1"#设置新事件的标志delimiter => "\n"#设置多长时间扫描目录,发现新文件discover_interval => 15#设置多长时间检测文件是否修改stat_interval => 1#监听文件的起始位置,默认是endstart_position => beginning#监听文件读取信息记录的位置sincedb_path => "E:/software/logstash-1.5.4/logstash-1.5.4/test.txt"#设置多长时间会写入读取的位置信息sincedb_write_interval => 15}
}
filter {}
output {stdout {}
}
##其他参数介绍
####1、path
path是file中唯一必需的参数。其他都是可选参数
####2、exclude
是不想监听的文件,logstash会自动忽略该文件的监听。配置的规则与path类似,支持字符串或者数组,但是要求必须是绝对路径。
####3、start_position
是监听的位置,默认是end,即一个文件如果没有记录它的读取信息,则从文件的末尾开始读取,也就是说,仅仅读取新添加的内容。对于一些更新的日志类型的监听,通常直接使用end就可以了;相反,beginning就会从一个文件的头开始读取。但是如果记录过文件的读取信息,这个配置也就失去作用了。
####4、sincedb_path
这个选项配置了默认的读取文件信息记录在哪个文件中,默认是按照文件的inode等信息自动生成。其中记录了inode、主设备号、次设备号以及读取的位置。因此,如果一个文件仅仅是重命名,那么它的inode以及其他信息就不会改变,因此也不会重新读取文件的任何信息。类似的,如果复制了一个文件,就相当于创建了一个新的inode,如果监听的是一个目录,就会读取该文件的所有信息。
####5、关于扫描和检测的时间
按照默认的来就好了,如果频繁创建新的文件,想要快速监听,那么可以考虑缩短检测的时间。
####6、add_field
就是增加一个字段,例如:
file {add_field => {"test"=>"test"}path => "D:/tools/logstash/path/to/groksample.log"start_position => beginning}
####7、tags
用于增加一些标签,这个标签可能在后续的处理中起到标志的作用
####8、delimiter
是事件分行的标志,如果配置成123,那么就会如下所示。这个选项,通常在多行事件中比较有用。
logstash官方文档:
https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html#plugins-inputs-file-sincedb_path