我当前的日志文件名是:catalina.2010-02-24.log。
我想为 splunk 索引添加这个,但是我遇到了问题,因为没有静态文件名,因为 tomcat 每天都会重命名日志文件。
[tail:///var/logs/catalina.2010-02-24.log] 不起作用。有办法解决这个问题吗
答案1
您可以索引整个目录,或者使用通配符来选择适当的文件。
就你的情况来说,[monitor://var/logs/catalina.*.log]应该可以正常工作。
答案2
您可以添加一个作为每日 cron 作业运行的脚本,该脚本根据日期将文件符号链接到 catalina.current.log 或类似的文件。
例子:
ln -sf /var/logs/catalina.`date +%Y-%m-%d`.log /var/logs/catalina.current.log
然后当然只需用来catalina.current.log访问当天的日志。