logstash 如何采集日志文件的行号呀?

一叶舟troy 发布于 2016/04/25 16:12
阅读 1K+
收藏 0
用ELT监控日志,
原来日志文件 一般都不显示行号的,
采集之后关键信息很多重复,在界面上无法对应具体那一样行了


如果在过滤时候添加行号这个关键字段呀
加载中
0
Feng_Yu
Feng_Yu

为何加行号?加时间戳就行了啊。

日志文件是典型的时序数据,通常不关心行号。因为日志文件会滚动的,一旦滚动,行号就变得毫无意义。所以日志文件这种时序数据通常关心的是产生日志的时间,而非行号。

EDIT: logstash会给进入的事件默认加一个@timestamp字段,这个就是日志产生的时间。如果你的日志有时间戳,希望覆盖这个字段的话,参考logstash官方文档中的date filter配置覆盖这个字段。

Feng_Yu
Feng_Yu
时序数据关心的是时戳,谁看行号啊?又不是RDB行
一叶舟troy
一叶舟troy
加行号是为了快速定位 日志本身产生了时间 我拆分了
Feng_Yu
Feng_Yu
回复 @leo108 : 没错啊,我说的就是这个意思
leo108
leo108
timestamp是日志收集时间,不是产生时间,有本质差别
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部