将下载的日志文件重放到ELK服务器中

Question

我们部署的系统收集“常规的”普通老式log4j日志文件。由于它是分布式系统，因此有5-10个这样的系统。当出现问题时，可以获取zip文件形式的日志文件。

我发现了this docker ELK image，它工作得很好。但是，这对我来说是新的，并且所有的示例都讨论了如何使用诸如filebeat之类的东西向ElasticSearch播放日志信息。我想知道是否有一种方法可以将现有的一组日志文件“重放”到这样的ELK容器实例中？或者这是我需要构建的东西？

Answer 1

我不知道您为什么不想使用filebeat，因为它可以优雅地处理网络中断并保证日志传递。我会使用filebeat，即使它只是一个本地安装(与ELK相同的域)，如果您不想在每个日志源服务器上安装filebeat以发送到您的主logstash实例，我会将收集到的日志从您的系统(使用rsync或手动)提供给它。

另一方面，有一个非常基本的logstash文件输入插件，您可以使用它直接读取：https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html