解决”Logstash不能识别unzip解压的文件”

尘缘ELK

step 1.

[shell]
find *.zip -exec unzip -j {} \;

change to

find *.zip -exec unzip -aanXj {} \;
[/shell]

step 2.

[shell]
#Here is a working workaround:

sudo vi /etc/init.d/logstash

#modify

LS_GROUP=logstash
#by

LS_GROUP=adm
#then

sudo /etc/init.d/logstash start
[/shell]

遇到一个两天都没有解决的问题。

启用新的es集群,elk都使用最新的2.0+版本,同时把以前的数据打包复制到新机器上进行解压。
配置好所有文件以后,发现logstash能正常启动却不能索引日志。

好像根本没有包含任何文件。
后来发现手工写的日志可以索引,把解压后的文件cat到新的文件中,也可以索引。

测试的时候,安装了logstash 2.0, 2.1, 2.2都不能解决。Logstash 1.5却正常。

解压的文件和自己生成的文件,用户组,用户权限,md5都完全一样,除了…

update:
logstash2.x增加了ignore_older参数,调整ignore_older参数即可,默认是86400
https://www.elastic.co/guide/en/logstash/2.4/plugins-inputs-file.html#plugins-inputs-file-ignore_older