Logstash 配置(一)input配置
首先在LS下創建目錄confs_test、data_test
[root@bigdata111 logstash-6.6.2]# mkdir confs_test
[root@bigdata111 logstash-6.6.2]# mkdir data_test
再在confs_test、data_test里面新建文件如下“自己操作”的說明:
input配置--讀取文件(File)
| input { file { path => ["/var/log/*.log", "/var/log/message"] type => "system" start_position => "beginning" } } output{stdout{codec=>rubydebug}} |
有一些比較有用的配置項,可以用來指定 FileWatch 庫的行為:
(1)discover_interval
logstash 每隔多久去檢查一次被監聽的 path 下是否有新文件。默認值是 15 秒。
(2)exclude
不想被監聽的文件可以排除出去,這里跟 path 一樣支持 glob 展開。
(3)close_older
一個已經監聽中的文件,如果超過這個值的時間內沒有更新內容,就關閉監聽它的文件句柄。默認是 3600 秒,即一小時。
(4)ignore_older
在每次檢查文件列表的時候,如果一個文件的最后修改時間超過這個值,就忽略這個文件。默認是 86400 秒,即一天。
(5)sincedb_path
如果你不想用默認的 $HOME/.sincedb(Windows 平台上在 C:\Windows\System32\config\systemprofile\.sincedb),可以通過這個配置定義 sincedb 文件到其他位置。
(6)sincedb_write_interval
logstash 每隔多久寫一次 sincedb 文件,默認是 15 秒。
(7)stat_interval
logstash 每隔多久檢查一次被監聽文件狀態(是否有更新),默認是 1 秒。
(8)start_position
logstash 從什么位置開始讀取文件數據,默認是結束位置,也就是說 logstash 進程會以類似 tail -F 的形式運行。如果你是要導入原有數據,把這個設定改成 "beginning",logstash 進程就從頭開始讀取,類似 less +F 的形式運行。
****自己操作****
[root@bigdata111 data_test]# touch message
[root@bigdata111 confs_test]# vi input_file.conf
添加內容如下:
input {
file {
path => ["/usr/local/logstash-6.6.2/data_test/message"]
type => "system"
start_position => "beginning"
}
}
output{stdout{codec=>rubydebug}}
注:stdout是輸出到控制台
------------------------------------
啟動命令:../bin/logstash -f ./input_file.conf
-f是啟動文件用的
[root@bigdata111 confs_test]# ../bin/logstash -f ./input_file.conf
另一窗口輸入測試命令:echo 'hehe2' >> message
這個格式是rubydebug的格式