我正在使用 logstash 中的文件输入插件读取日志文件,并将此日志发送到弹性搜索。日志文件每 00:00 轮换一次。当我轮换日志文件时,文件会被压缩并移动到不同的文件夹。新日志将从头开始写入同一文件。所以我的问题是,如果 logstash 的速度太慢,无法跟上写入文件的日志量,就会有一些滞后,在这种情况下,如果移动文件内容进行轮换,那么我会丢失滞后的日志吗?预期的行为是什么?如果日志在轮换时丢失,我该如何修复?
使用每天轮换的 logstash 读取日志文件
我正在使用 logstash 中的文件输入插件读取日志文件,并将此日志发送到弹性搜索。日志文件每 00:00 轮换一次。当我轮换日志文件时,文件会被压缩并移动到不同的文件夹。新日志将从头开始写入同一文件。所以我的问题是,如果 logstash 的速度太慢,无法跟上写入文件的日志量,就会有一些滞后,在这种情况下,如果移动文件内容进行轮换,那么我会丢失滞后的日志吗?预期的行为是什么?如果日志在轮换时丢失,我该如何修复?