ELK

Logstash

踩坑

1、使用标准输入导致容器一直启动

input{
    stdin{}
}
output{
    file{
    	path=>"/export/server/logstash/test.txt"
    	# 这句的作用是将文件作为json格式保存
    	codec=>"json"
	}
}

A：本质因为是标准输入和容器启动矛盾了，看网上教程是程序直接启动的

 

2、采用文件输入时，宿主机和容器没有同步数据

A：默认情况下，Logstash的file插件是增量读取，即只会读取文件中新增加的内容；如果需要重新读取所有内容，则需要添加如下设置

sincedb_path => "/dev/null"

编辑文件可能被logstash认为是新文件，推荐使用如下方式确保内容是追加的

echo '{"name":"Tom"}' >> /test.txt