我遇到了一些对我来说有点奇怪的事情。我让 filebeat 监控我的 rsyslog( syslog.log) 文件并将其发送到我的 logstash。
我注意到,在重新启动运行 syslog 的 filebeat 后,syslogs 会 user.log在/var/log/user.log日志记录所在的位置创建一个新文件。但是,filebeat 认为这syslog.log是已更新的文件,因为该文件未更新,所以 filebeat 不会向我的 logstash 发送任何内容...
所以我的问题是,为什么 rsyslog 守护进程要创建这个其他文件user.log?
任何提示都值得赞赏!
提前致谢!
问候