我正在使用 elasticsearch 7.1.1 和 logstash 7.1.1。我正在尝试使用 grok 过滤器将日志文件上传到 elastic search。
管道正在启动,但数据尚未上传。
这是我的配置文件。
输入{
文件 {
路径 => “/home/i-exceed.com/pankaj.kumar/elk/logfiles/bankvisit-dialog-service/bankvisit-dialog-service.10-jun.log”
起始位置 => “开始”
sincedb_path => “/dev/null”
}
}
筛选{
格罗克{
匹配 => { “消息” => “\[%{GREEDYDATA:logLabel}\] %{GREEDYDATA:date} %{GREEDYDATA:time} \[%{GREEDYDATA:threadId}\] \[%{GREEDYDATA:transactionId}\]%{GREEDYDATA:message}”}
}
}
输出{
elasticsearch {
主机 => “本地主机”
index => “银行访问”
document_type => "银行访问日志"
}
}
这里是控制台输出,它不断循环。
[2019-06-14T14:08:02,767] [DEBUG] [org.logstash.config.ir.CompiledPipeline] 编译输出
P[output-elasticsearch{“hosts”=>“localhost”, “index”=>“bankvisit”, “document_type”=>“bankvisitlog”}|[str]pipeline:21:5:
elasticsearch {
主机 => “本地主机”
index => “银行访问”
document_type => "银行访问日志"
}
]
进入
org.logstash.config.ir.compiler.ComputeStepSyntaxElement@3a1579c8
[2019-06-14T14:08:02,975] [DEBUG] [logstash.instrument.periodicpoller.jvm] 收集器名称 {:name=>“ParNew”}
[2019-06-14T14:08:02,979] [DEBUG] [logstash.instrument.periodicpoller.jvm]收集器名称{:name =>“ConcurrentMarkSweep”}
[2019-06-14T14:08:07,131] [DEBUG] [org.logstash.execution.PeriodicFlush] 将刷新推送到管道。
[2019-06-14T14:08:08,004] [DEBUG] [logstash.instrument.periodicpoller.jvm] 收集器名称 {:name=>“ParNew”}
[2019-06-14T14:08:08,005] [DEBUG] [logstash.instrument.periodicpoller.jvm]收集器名称{:name =>“ConcurrentMarkSweep”}
答案1
对于,请使用如下所示的sincedb_path替代方法(注意/dev/nullnul单身的 ‘l’在nul):
sincedb_path => "nul"