由Logstash解析的日誌事件以Loggly四次結束

Question

由Logstash解析的我的日誌事件以Loggly四次結束。什麼可能導致這個？

一個例子是，該行：

2014-11-05 01:52:55,485 PM PST [localhost-startStop-1] INFO o.s.web.context.ContextLoader - Root WebApplicationContext: initialization started 

看起來這在Loggly：

我Logstash配置文件看起來像：

input { 
    file { 
    type => "advcore-error" 
    path => [ "/var/company/tomcat/logs/error/advcore-error.log"] 
    sincedb_path => "$HOME/.sincedb" 
    } 
} 

filter { 
    if [type] == "advcore-error" { 
    grok { 
     pattern => "%{DATE_US} %{TIME},%{DATA:offset} %{DATA:meridian} %{DATA:timezone} \[%{DATA:thread}\] %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" 
     add_tag => "advcore-error" 
    } 
    } 
} 

output { 
    loggly { 
    codec => "plain" 
    host => "logs-01.loggly.com" 
    key => "<my-secret-key>" 
    proto => "http" 
    workers => 1 
    } 
} 

Answer 1

我想通了這個問題。

我有三個其他Logstash配置文件（共四個），每個都有相同的Loggly output塊。

我不明白在另一個配置文件中的output塊仍然會從所有配置文件中傳輸數據。

看來，給定Logstash templates目錄中的配置文件（以及其他地方可能）有效地充當了一個大文件。