반응형
1. log 수집 도중 알수 없는 이유로 수집이 중단 되거나 특정 log 파일을 다시 읽어 드리고 싶을때
2. 전체 초기화
- filebeat data home 확인
[root@MON2 filebeat]# ps aux | grep filebeat-logstash
root 32061 87.5 0.7 2204676 377292 ? Ssl 12:01 13:16 /usr/share/filebeat/bin/filebeat --environment systemd -c /etc/filebeat-logstash/filebeat.yml --path.home /usr/share/filebeat --path.config /etc/filebeat-logstash --path.data /var/libfilebeat-logstash --path.logs /var/log/filebeat-logstash
{data_home} = --path.data /var/libfilebeat-logstash- filebeat 중단
- registry 파일 전체 삭제
[root@MON2 filebeat-logstash]# pwd
/var/lib/filebeat-logstash
[root@MON2 filebeat-logstash]# ll
total 4
-rw------- 1 root root 0 Jan 4 16:16 filebeat.lock
-rw------- 1 root root 100 Dec 27 15:37 meta.json
drwxr-x--- 3 root root 22 Apr 6 12:01 registry
[root@MON2 filebeat-logstash]# rm -rf registry- filebeat 시작
3. 특정 log 파일만 초기화
- filebeat 중단
- log.json 파일 내 offset 수정
[root@MON2 filebeat]# pwd
/var/lib/filebeat-logstash/registry/filebeat
[root@MON2 filebeat]# cat log.json
...
{"k":"filebeat::logs::native::3792432-64768","v":{"id":"native::3792432-64768","prev_id":"","source":"{log_path}.log","ttl":-1,"type":"log","FileStateOS":{"inode":3792432,"device":64768},"offset":62166,"timestamp":[2319650479027,1649214762],"identifier_name":"native"}}
...
=> offset :0 수정
반응형
'Monitoring Tools > ELK Stack' 카테고리의 다른 글
| 8. Windows Sysmon + Winlogbeat + logstash (0) | 2022.04.26 |
|---|---|
| 7. Elastalert (0) | 2022.04.26 |
| 6.1 filebeat multiple indexing (0) | 2022.04.22 |
| 6. filebeat agent 설정 (0) | 2022.04.22 |
| 5.2 grok pattern을 이용한 nginx log 파싱 (0) | 2022.04.22 |
