概述分析访问日志是服务端监控系统的最常见工作,所以这里先学习一下怎么监控文件文件监控是通过流事件实现的,Logstash 使用一个叫 FileWatch 的 Ruby Gem 库来监听文件变化这个库使用完整路径记录 .sincedb 文件来跟踪被监听日志文件的当前读取位置,因此不会漏掉数据sincedb 文件中记录了每个被监听的文件的 inode, major number, minor number 和 pos 配置参数Logstash file 配置参数参数类型必须默认值意义add_fieldhash否{}为事件添加字段codeccodec否"plain"处理输入文本的方法名delimiterstring否"\n"分隔符discover_intervalnumber否15检测路径中新文件间隔时间excludearray否无不监控的文件patharray是无监控的文件或路径sincedb_pathstring否无sincedb 文件存储位置sincedb_write_intervalnumber否15刷新 sincedb 文件时间间隔start_positionstring("beginning" 或 "end"