無法使用logstash版本2.3.2重新處理日誌文件

Question

我已經使用logstash處理文件並將其推送到彈性搜索工作。但是，我必須對logstash conf文件進行一些更改，並且需要再次處理日誌文件。我刪除了es上的索引並重新啓動了logstash。我沒有看到elasticsearch中的數據，它看起來像文件沒有被處理。

1. I am using logstash version 2.3.2 
2. I deleted _sincedb file, restarted logstash, no log 
3. I checked the conf file syntax via --configcheck and it is ok. 

任何想法我在這裏失蹤？

我沒有看到任何索引創建，沒有數據在ES。我多次嘗試這些步驟。

Answer 1

Logstash足夠聰明，可以記住直到哪一行它已經處理了您給予他的每個文件並將該光標存儲在sincedb文件中。

因此，除了path設置，你需要指定你的file輸入兩個參數，將確保該文件在每次運行時重新處理：

file { 
    path => "/path/to/file" 
    start_position => "beginning" 
    sincedb_path => "/dev/null" 
}