无法使用 logstash 版本 2.3.2 重新处理日志文件

Question

我已经使用 logstash 处理了一个文件并将其推送到 elasticsearch 它工作。但是，我不得不对 logstash conf 文件进行一些更改，并且需要再次处理日志文件。我删除了es上的索引并重新启动了logstash。我在elasticsearch中没有看到数据，看起来文件没有被处理。

1. I am using logstash version 2.3.2
2. I deleted _sincedb file, restarted logstash, no log
3. I checked the conf file syntax via --configcheck and it is ok.

任何想法我在这里缺少什么？

我没有看到创建任何索引，es 中没有数据。我多次尝试了这些步骤。

Answer 1

Logstash 足够聪明，可以记住它已经处理了您给他的每个文件的哪一行，并将该光标存储在 sincedb 文件中。

因此，除了path 设置之外，您还需要在file 输入中指定另外两个参数，以确保在每次运行时重新处理文件：

file {
    path => "/path/to/file"
    start_position => "beginning"
    sincedb_path => "/dev/null"
}