我正在从同一源文件夹中读取不同的日志。但并不是所有的文件都被读取,其中一节有效,另一节无效。如果我重新启动UF,所有的节都会工作,但更改后的数据不会被一个节捕获。
我计划监视以下文件
performance_data.log
performance_data.log.1
performance_data.log.2
performance_data.log.3
performance.log
performance.log.1
performance.log.2
SystemOut.log
我的input.conf文件
[default]
host = LOCALHOST
[monitor://E:DataAppServerA1performance_data.lo*]
source=applogs
sourcetype=data_log
index=my_apps
[monitor://E:DataAppServerA1performance.lo*]
source=applogs
sourcetype=perf_log
index=my_apps
[monitor://E:DatalogsImpaCT_A1SystemOu*]
source=applogs
sourcetype=systemout_log
index=my_apps
\performance_data.lo*和\SystemOu*节工作正常,但performance.lo*节不工作。只在重新启动UF(通用转发器(时发送数据,但更改并不像其他节那样自动发送。我在这里做错了什么?
可能是缓冲区速度超过了限制,所以转发器无法将数据发送到splink所以试着添加input.conf,如下所示并在本地路径中创建limit.conf
的输入
[monitor://E:DataAppServerA1performance.lo*]
source=applogs
sourcetype=perf_log
index=my_apps
crcSalt = <SOURCE>
限制
[thruput]
maxKBps = 0