从特定日期开始收获日志
start harvest logs from specific day
我在 ubuntu 14.04 上安装了 logstash、elasticsearch、kibana,我使用 cca 40 logstash-forwarders(ubuntu 12.04 和 14.04),我能够每秒接收 cca 300-400 条日志,我想从 "today" 开始收获原木,而不是较旧的原木。
我 运行 logstash 几个星期前,它仍然只收集较旧的日志,我想实时收集更多日志。
我试过设置过滤器,与策展人合作,我试过google,但我仍然没有解决方案。
不幸的是,在我的情况下无法轮换旧日志,因为我们必须存储旧日志以进行安全审计。
如果您的日志不在单独的文件中(您可能会想出一个 glob 模式来限制索引的内容),那么我建议计算 "lag"(两者之间的差异事件的时间戳和当前时间戳)。如果延迟高于您的阈值,则删除该事件。
我在 ubuntu 14.04 上安装了 logstash、elasticsearch、kibana,我使用 cca 40 logstash-forwarders(ubuntu 12.04 和 14.04),我能够每秒接收 cca 300-400 条日志,我想从 "today" 开始收获原木,而不是较旧的原木。 我 运行 logstash 几个星期前,它仍然只收集较旧的日志,我想实时收集更多日志。
我试过设置过滤器,与策展人合作,我试过google,但我仍然没有解决方案。
不幸的是,在我的情况下无法轮换旧日志,因为我们必须存储旧日志以进行安全审计。
如果您的日志不在单独的文件中(您可能会想出一个 glob 模式来限制索引的内容),那么我建议计算 "lag"(两者之间的差异事件的时间戳和当前时间戳)。如果延迟高于您的阈值,则删除该事件。