我尝试用下面的命令
启动logstashlogstash-7.10.2logstash -f logstash.conf
logstash.conf
input{
file{
path => "D://server.log" start_position=> "beginning" type => "logs"
}
}
filter {
grok {
match => {"message" => "%{TIMESTAMP_ISO8601:logtime} [%{NOTSPACE:thread}] [%{LOGLEVEL:loglevel}] %{GREEDYDATA:line}"
}
}
}
output {
if "ERROR" in [loglevel]
{
elasticsearch {
hosts => ["localhost:9200"]
index => "logstash"
}
}
}
命令提示符显示以下文本,未启动logstash。
使用JAVA_HOME定义java: C:Program FilesJava jdk1.8.0_221;警告,在Logstash发行版附带捆绑JDK时使用JAVA_HOMEJAVA_OPTS=-Xms64m -Xmx128m -XX:NewSize=64m -XX:MaxNewSize=64m -XX:PermSize=64m -XX:MaxPermSize=64m;通过LS_JAVA_OPTS传递JVM参数
未创建错误日志。
你试过在调试模式下启动logstash吗?
--log.level DEBUG
管道看起来不错。您可以尝试添加下面的输出,看看您的模式和日志数据是否匹配。只是为了排除任何grokparsefailure。
output {
stdout { codec => rubydebug }
if "ERROR" in [loglevel]
{
elasticsearch {
hosts => ["localhost:9200"]
index => "logstash"
}
}
}