filebeat相关registry文件内容解析

最新推荐文章于 2022-03-12 22:33:31 发布
最新推荐文章于 2022-03-12 22:33:31 发布
阅读量148 收藏
点赞数 1
原文链接:http://www.cnblogs.com/micmouse521/p/8085229.html
版权

  filebeat的registry文件中存放的是被采集的所有日志的相关信息。

  linux中registry中一条日志记录的内容如下

{"source":"/var/log/messages","offset":5912,"FileStateOS":{"inode":38382035,"device":64768},"timestamp":"2017-03-13T18:17:54.39159179+08:00","ttl":-1}

  这条记录中的各个字段的意义分别为

source 日志文件完整路径
offset 已经采集的日志的字节数;已经采集到日志的哪个字节位置
filestateos  操作系统相关
  inode  日志文件的inode号
  device    日志所在磁盘的磁盘编号
  timestamp  日志最后一次发生变化的时间戳
  ttl  采集失效时间。-1表示只要日志存在,就一直采集该日志

  device一列的数字64768有些难理解。这个数字可以通过stat命令得到:

stat /var/log/messages
  File: "/var/log/messages"
  Size: 3964            Blocks: 8          IO Block: 4096   普通文件
Device: fd00h/64768d    Inode: 2228688     Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2017-12-17 03:20:01.177559387 +0800
Modify: 2017-12-22 11:01:19.401186654 +0800
Change: 2017-12-22 11:01:19.401186654 +0800

  64768为十进制数,对应十六进制数fd00,对应磁盘为fd,00即253, 0

# ll /dev/dm-0
brw-rw----. 1 root disk 253, 0 8月  17 19:30 /dev/dm-0
# ll /dev/root
lrwxrwxrwx. 1 root root 4 8月  17 19:30 /dev/root -> dm-0
# ll /dev/VolGroup/
总用量 0
lrwxrwxrwx. 1 root root 7 11月 17 10:37 lv_home -> ../dm-2
lrwxrwxrwx. 1 root root 7 8月  17 19:30 lv_root -> ../dm-0
lrwxrwxrwx. 1 root root 7 8月  17 19:30 lv_swap -> ../dm-1

  windows中registry内容如下

[{"source":"D:\\zwl\\filebeat\\error.log","offset":92937960,"FileStateOS":{"idxhi":131072,"idxlo":40032,"vol":4070684760},"timestamp":"2017-08-22T11:26:52.887343+08:00","ttl":-1}

  

source 日志文件完整路径
offset 已经采集的日志的字节数;已经采集到日志的哪个字节位置
filestateos  操作系统相关
  idxhi/idxlo/vol    On windows the pair of (volume, idxhi, idxlo) uniquely identifies a file.
  timestamp  日志最后一次发生变化的时间戳
  ttl  采集失效时间。-1表示只要日志存在,就一直采集该日志

  

 

转载于:https://www.cnblogs.com/micmouse521/p/8085229.html

weixin_30536513
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat7.7.0相关详细配置预览(归类视角)
BigManing的博客
08-14 2972
文章目录一、前言二、参数配置分类1、Modules configuration2、Filebeat inputs3、Filebeat autodiscover4、Filebeat global options5、General6、 Processors7、Elastic Cloud8、Outputs9、 Paths10、 Keystore11、Dashboards12、Template13、 Setup ILM14、 Kibana15、 Logging16、 X-Pack Monitoring17、 HTT
FileBeat系列:registry太大的问题解决
NIO4444
05-16 2066
问题 如果每天产生很多文件(可能数据量并不大),将会导致FileBeat registry文件非常大。 解决 clean_removed:当文件被删除或重命名时,从registry记录中清除文件记录(即使重新命名也会,因为文件ID和文件名称无关),但是如果该文件后续再一次出现,将会导致从头再读一遍。 clean_inactive:当文件不再活跃时,clean_inactive必须大于ignore_older ,从registry记录中清除不再活跃的文件记录(即使重新命名也会,因为文件I...
FilebeatRegistry文件解读
weixin_34315485的博客
03-29 610
你可能没有注意但很重要的filebeat小知识 Registry文件 Filebeat会将自己处理日志文件的进度信息写入到registry文件中,以保证filebeat在重启之后能够接着处理未处理过的数据,而无需从头开始 registry文件内容为一个list,list里的每个元素都是一个字典,字典的格式如下: { "source": "/home/logs/app/exception...
Logstash读取Kafka数据写入HDFS详解
ops-coffee
03-21 1531
强大的功能,丰富的插件,让logstash在数据处理的行列中出类拔萃 通常日志数据除了要入ES提供实时展示和简单统计外,还需要写入大数据集群来提供更为深入的逻辑处理,前边几篇ELK的文章介绍过利用logstash将kafka的数据写入到elasticsearch集群,这篇文章将会介绍如何通过logstash将数据写入HDFS 本文所有演示均基于logstash 6.6.2版本 数据收集 log...
filebeat registry 注册表文件 删除部分条目 重启服务导致数据全部重新录入
lMasterSparkl的博客
08-27 979
1问题描述 todo 首先该问题是线上生产问题 并且仍然未解决 如果有网友知道怎么解决欢迎评论 filebeat 删除registry中某条目的信息后 重启filebeat 导致所有索引都重新录入 使用 腾讯云 docker 启动的filebeat 配置文件中配置了 filebeat.registry.path filebeat 版本为7.5.1 2 todo 问题待解决 我在容器中查看filebeat 的帮助命令 里面没有 停止服务的命令 参考资料 官方registry部分文档 官方关于关闭fil
registry:Windows注册表文件
04-22
这些是任何人都可以使用的一些Windows注册表文件/修改。 警告:搞乱注册表可能会损坏Windows操作系统。 风险微乎其微,但知道存在。 为了安全起见,请在进行任何更改之前注册表的备份。
Wise Registry Cleaner --单文件
11-04
Wise Registry Cleaner --单文件版 , 无需安装,可直接使用,一键清理及整理注册表,便携式工具
Registry_Workshop_v5.0.1(单文件破解版)
10-05
Registry_Workshop_v5.0.1单文件破解版,不需要任何注册工具,下载即可使用!
registry-images
最新发布
05-09
registry-images
docker registry离线镜像
04-03
docker官方镜像仓库registry离线包,使用docker load -i registry.tar
filebeat源码分析服务启动
热门推荐
柳清风的专栏
12-08 3万+
在开始源码分析之前先说一下filebeat是什么?beats是知名的ELK日志分析套件的一部分。它的前身是logstash-forwarder,用于收集日志并转发给后端(logstash、elasticsearch、redis、kafka等等)。filebeat是beats项目中的一种beats,负责收集日志文件的新增内容。当前的代码分支是最新的6.x的代码。 先看我们服务启动配置文件的一个例子,
ElasticSearch学习总结(六)
qq_19831379的博客
03-30 172
主题:filebeat配置1.安装curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.2.3-x86_64.rpmsudo rpm -vi filebeat-6.2.3-x86_64.rpm2.配置 vim /etc/filebeat/filebeat.ymlfilebeat.prospectors...
Filebeat自动关闭问题解决
weixin_41905537的博客
02-05 4487
问题描述 最近用ELK收集日志,filebeat扫描一段时间后出现自动关闭现象 filebeat版本:filebeat-7.10.1-linux-x86_64 启动方式: nohup ./filebeat -e -c filebeat.yml -d "Publish" & 运行一段时间后,filebeat自动停止 2021-02-04T11:28:39.502+0800 INFO [monitoring] log/log.go:154 Uptime: 1h26m58.8.
Filebeat
weixin_46217160的博客
04-11 1058
简介 Filebeat是一个用go语言编写的轻量型日志采集器,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch,logstarsh,kafka,redis中存放。 Filebeat收集日志非常稳定,无论在任何环境中,随时都潜伏着应用程序中断的风险。Filebeat 能够读取并转发日志行,如果出现中断,还会在一切恢复正常后,从中断前停止的位置继续开始。 架构组成: Filebeat
容器日志采集利器:Filebeat深度剖析与实践
Docker的专栏
08-01 2369
在云原生时代和容器化浪潮中,容器的日志采集是一个看起来不起眼却又无法忽视的重要议题。对于容器日志采集我们常用的工具有Filebeat和Fluentd,两者对比各有优劣,相...
Filebeat的一些重要配置
点火三周的专栏
02-17 1万+
文章目录X-Pack商业付费功能介绍成本类功能可搜索快照效率集中化 Beats 管理集中化 Logstash 管道管理产品安全审计日志IP 筛选LDAP、PKIElasticsearch 令牌服务单点登录(SAML、OpenID Connect 和 Kerberos)基于属性的访问控制字段和文档级别安全性自定义身份验证和授权 Realm数据静态加密支持FIPS 140-2 模式集群监控与告警多堆栈监测可配置保留政策自动堆栈问题告警WatcherKibana 操作:电子邮件、PagerDuty、Service
filebeat 源码分析
weixin_34388207的博客
07-31 780
由于业务需要,我们要对 beats 进行二次开发。所以最近我在看它的实现。这篇文章就是对此的一段总结。 beats是知名的ELK日志分析套件的一部分。它的前身是logstash-forwarder,用于收集日志并转发给后端(logstash、elasticsearch、redis、kafka等等)。filebeat是beats项目中的一种...
filebeat 5.2.2详细配置说明
weixin_39077573的博客
06-19 8187
#filebeat 5.2.2 #prospector(input)段配置 filebeat.prospectors: #每一个prospectors,起始于一个破折号"-" - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: #日志文件路径列表,可用通配符,不递归 - /var/log/*.
OS-关于操作系统文件描述符(文件句柄)
KwokRoot的博客
03-12 2237
# 获取文件描述符(文件句柄),经测试,Windows、Linux 同一逻辑磁盘下,重命名、移动都不会发生改变!可用于采集回滚日志文件的标识信息。 1.Python 获取文件描述符: # Python(v3.7) 可用于 Windows 系统、Linux 系统。 fileinfo = os.stat(r"F:\\temp\\test\\log.txt.bak0") print(fileinfo) 结果示例: os.stat_result(st_mode=33206, st_ino=374361
k8s filebeat.registry.flush
10-20
k8s filebeat.registry.flush是指在Kubernetes环境下使用Filebeat时,可以通过设置该参数来控制Filebeat在将数据发送到Elasticsearch之前将注册表中的数据刷新到磁盘的频率。该参数的默认值为5秒,可以根据需要进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值