filebeat的registry文件中存放的是被采集的所有日志的相關信息。
linux中registry中一條日志記錄的內容如下
{"source":"/var/log/messages","offset":5912,"FileStateOS":{"inode":38382035,"device":64768},"timestamp":"2017-03-13T18:17:54.39159179+08:00","ttl":-1}
這條記錄中的各個字段的意義分別為
source 日志文件完整路徑 offset 已經采集的日志的字節數;已經采集到日志的哪個字節位置 filestateos 操作系統相關 inode 日志文件的inode號 device 日志所在磁盤的磁盤編號 timestamp 日志最后一次發生變化的時間戳 ttl 采集失效時間。-1表示只要日志存在,就一直采集該日志
device一列的數字64768有些難理解。這個數字可以通過stat命令得到:
stat /var/log/messages File: "/var/log/messages" Size: 3964 Blocks: 8 IO Block: 4096 普通文件 Device: fd00h/64768d Inode: 2228688 Links: 1 Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2017-12-17 03:20:01.177559387 +0800 Modify: 2017-12-22 11:01:19.401186654 +0800 Change: 2017-12-22 11:01:19.401186654 +0800
64768為十進制數,對應十六進制數fd00,對應磁盤為fd,00即253, 0
# ll /dev/dm-0 brw-rw----. 1 root disk 253, 0 8月 17 19:30 /dev/dm-0 # ll /dev/root lrwxrwxrwx. 1 root root 4 8月 17 19:30 /dev/root -> dm-0 # ll /dev/VolGroup/ 總用量 0 lrwxrwxrwx. 1 root root 7 11月 17 10:37 lv_home -> ../dm-2 lrwxrwxrwx. 1 root root 7 8月 17 19:30 lv_root -> ../dm-0 lrwxrwxrwx. 1 root root 7 8月 17 19:30 lv_swap -> ../dm-1
windows中registry內容如下
[{"source":"D:\\zwl\\filebeat\\error.log","offset":92937960,"FileStateOS":{"idxhi":131072,"idxlo":40032,"vol":4070684760},"timestamp":"2017-08-22T11:26:52.887343+08:00","ttl":-1}
source 日志文件完整路徑 offset 已經采集的日志的字節數;已經采集到日志的哪個字節位置 filestateos 操作系統相關 idxhi/idxlo/vol On windows the pair of (volume, idxhi, idxlo) uniquely identifies a file. timestamp 日志最后一次發生變化的時間戳 ttl 采集失效時間。-1表示只要日志存在,就一直采集該日志