Logstash 配置(一)input配置
首先在LS下创建目录confs_test、data_test
[root@bigdata111 logstash-6.6.2]# mkdir confs_test
[root@bigdata111 logstash-6.6.2]# mkdir data_test
再在confs_test、data_test里面新建文件如下“自己操作”的说明:
input配置--读取文件(File)
| input { file { path => ["/var/log/*.log", "/var/log/message"] type => "system" start_position => "beginning" } } output{stdout{codec=>rubydebug}} |
有一些比较有用的配置项,可以用来指定 FileWatch 库的行为:
(1)discover_interval
logstash 每隔多久去检查一次被监听的 path 下是否有新文件。默认值是 15 秒。
(2)exclude
不想被监听的文件可以排除出去,这里跟 path 一样支持 glob 展开。
(3)close_older
一个已经监听中的文件,如果超过这个值的时间内没有更新内容,就关闭监听它的文件句柄。默认是 3600 秒,即一小时。
(4)ignore_older
在每次检查文件列表的时候,如果一个文件的最后修改时间超过这个值,就忽略这个文件。默认是 86400 秒,即一天。
(5)sincedb_path
如果你不想用默认的 $HOME/.sincedb(Windows 平台上在 C:\Windows\System32\config\systemprofile\.sincedb),可以通过这个配置定义 sincedb 文件到其他位置。
(6)sincedb_write_interval
logstash 每隔多久写一次 sincedb 文件,默认是 15 秒。
(7)stat_interval
logstash 每隔多久检查一次被监听文件状态(是否有更新),默认是 1 秒。
(8)start_position
logstash 从什么位置开始读取文件数据,默认是结束位置,也就是说 logstash 进程会以类似 tail -F 的形式运行。如果你是要导入原有数据,把这个设定改成 "beginning",logstash 进程就从头开始读取,类似 less +F 的形式运行。
****自己操作****
[root@bigdata111 data_test]# touch message
[root@bigdata111 confs_test]# vi input_file.conf
添加内容如下:
input {
file {
path => ["/usr/local/logstash-6.6.2/data_test/message"]
type => "system"
start_position => "beginning"
}
}
output{stdout{codec=>rubydebug}}
注:stdout是输出到控制台
------------------------------------
启动命令:../bin/logstash -f ./input_file.conf
-f是启动文件用的
[root@bigdata111 confs_test]# ../bin/logstash -f ./input_file.conf
另一窗口输入测试命令:echo 'hehe2' >> message
这个格式是rubydebug的格式