ELK堆棧 - 如何將所有舊日誌回填到elasticsearch？

Question

我已經設置了ELK + filebeat，並且要將所有舊日誌回填到logstash/ES中。我怎樣才能做到這一點？人提到刪除sincedb文件和/或增加這個我logstash input.conf中：

file { 
     path => "/var/log/xx/xx.log" 
     start_position => "beginning" 
     sincedb_path => "/dev/null" 
    } 

但我把它添加到我的輸入的conf然後重新啓動logstash，仍然沒有看到Kibana舊日誌。我也找不到每個人都提到的sincedb_ *文件。我的ELK節點是RHEL服務器。

感謝

Answer 1

如果這些文件是舊的，這是一個好主意，還添加ignore_older => 0到你的配置。

file { 
     path => "/var/log/ptsfd-mms/ptsfd-mms.log" 
     start_position => "beginning" 
     sincedb_path => "/dev/null" 
     ignore_older => 0 
    }