文件输入插件

在此模式下，插件旨在跟踪正在更改的文件并在内容追加到每个文件时发出新内容。在此模式下，文件被视为永无止境的內容流，EOF 没有特殊意义。插件始终假设会有更多内容。当文件被轮换时，检测到较小或零大小，当前位置重置为零，并且流继续。在累积的字符可以作为一行发出之前，必须看到一个分隔符。

在此模式下，插件将每个文件视为内容完整，即有限的行流，现在 EOF 具有重要意义。不需要最后一个分隔符，因为 EOF 表示累积的字符可以作为一行发出。此外，此处的 EOF 表示可以关闭文件并将其置于“未监视”状态 - 这会自动释放活动窗口中的空间。此模式还允许在完全处理文件后执行操作。

过去尝试在仍然假设无限流的情况下模拟读取模式并不理想，而专用的读取模式是一个改进。

设置为 true 时，此设置会在处理压缩文件之前验证其有效性。文件将经过两次传递——​一次传递用于验证文件是否有效，另一次传递用于处理文件。

验证压缩文件需要更多处理时间，但可以防止损坏的归档文件导致循环。

文件输入会关闭上次读取指定持续时间（如果指定了数字，则以秒为单位）之前的任何文件。这根据文件是正在跟踪还是正在读取而具有不同的含义。如果正在跟踪，并且传入数据存在较大的时间间隔，则可以关闭文件（允许打开其他文件），但将在检测到新数据时排队重新打开。如果正在读取，则在上次读取字节后 closed_older 秒后，文件将被关闭。如果您将插件升级到 4.1.0+，并且正在读取而不是跟踪且不切换到使用读取模式，则此设置将保留以确保向后兼容性。

设置新行分隔符，默认为 "\n"。请注意，读取压缩文件时不会使用此设置，而是使用标准的 Windows 或 Unix 行结束符。

我们在 path 选项中扩展文件名模式以发现要监视的新文件的频率。此值是 stat_interval 的倍数，例如，如果 stat_interval 是“500 毫秒”，则每 15 X 500 毫秒（7.5 秒）可能会发现新的文件。实际上，这将是最佳情况，因为需要考虑读取新内容所需的时间。

控制此插件与 Elastic Common Schema (ECS) 的兼容性。

排除项（与文件名匹配，而不是完整路径）。文件名模式在此处也有效。例如，如果您有

    path => "/var/log/*"

在跟踪模式下，您可能希望排除 gzip 文件

    exclude => "*.gz"

此选项可用于 read 模式，以在文件读取完成后强制关闭所有监视器。可用于文件内容是静态的并且在执行期间不会更改的情况。当设置为 true 时，它还会禁用文件的主动发现 - 只有进程启动时目录中的文件才会被读取。它支持 sincedb 条目。当文件被处理一次，然后被修改 - 下一次运行将只读取新添加的条目。

此选项与 file_chunk_size 结合使用，用于设置从每个文件读取多少个块（带或条带）然后移动到下一个活动文件。例如，file_chunk_count 为 32 且 file_chunk_size 为 32KB 将处理每个活动文件的下一个 1MB。由于默认值非常大，因此在移动到下一个活动文件之前，文件实际上会读取到 EOF。

文件内容以块或块的形式从磁盘读取，并且从块中提取行。请参阅 file_chunk_count 以了解为什么以及何时需要从默认值更改此设置。

在 read 模式下，当文件处理完毕时应执行什么操作。如果指定了 delete，则将删除该文件。如果指定了 log，则文件的完整路径将记录到 file_completed_log_path 设置中指定的文件中。如果指定了 log_and_delete，则上述两个操作都将发生。

应将完全读取的文件路径附加到哪个文件。仅当 file_completed_action 为 log 或 log_and_delete 时才指定此文件路径。重要提示：此文件仅附加 - 它可能会变得非常大。您负责文件轮换。

应使用“监视”文件的哪个属性按其排序。文件可以按修改日期或完整路径字母顺序排序。以前，发现的因此“监视”的文件的处理顺序依赖于操作系统。

在排序“监视”文件时选择升序和降序。如果最旧的数据优先，则 last_modified + asc 的默认值很好。如果最新数据优先，则选择 last_modified + desc。如果您对文件完整路径使用特殊命名约定，则 path + asc 可能有助于控制文件处理顺序。

当文件输入发现一个最后修改时间早于指定持续时间（如果指定了数字，则以秒为单位）的文件时，将忽略该文件。在其发现之后，如果忽略的文件被修改，则不再忽略它，并且会读取任何新数据。默认情况下，此选项被禁用。请注意，此单位以秒为单位。

此输入在任何时间消耗的文件句柄的最大数量是多少。如果您需要处理的文件数量超过此数字，请使用 close_older 关闭一些文件。这不应该设置为操作系统可以执行的最大值，因为其他 LS 插件和操作系统进程需要文件句柄。内部设置了 4095 的默认值。

您希望文件输入以什么模式运行。跟踪少量文件或读取许多内容完整的文件。读取模式现在支持 gzip 文件处理。

如果指定了 read，则可以使用以下设置

如果指定了 read，则会忽略以下设置

用作输入的文件的路径。您可以在此处使用文件名模式，例如 /var/log/*.log。如果您使用类似 /var/log/**/*.log 的模式，则将对 /var/log 进行递归搜索以查找所有 *.log 文件。路径必须是绝对路径，不能是相对路径。

您还可以配置多个路径。请参阅 Logstash 配置页面 上的示例。

sincedb 记录现在与其关联了一个上次活动时间戳。如果在过去 N 天中在跟踪文件中未检测到任何更改，则其 sincedb 跟踪记录将过期，并且不会持久化。此选项有助于防止 inode 回收问题。Filebeat 有一个关于 inode 回收的常见问题解答。

sincedb 数据库文件的路径（跟踪监视日志文件的当前位置），该文件将写入磁盘。默认情况下，sincedb 文件将写入 <path.data>/plugins/inputs/file 注意：它必须是文件路径，而不是目录路径

写入包含监视日志文件当前位置的 since 数据库的频率（以秒为单位）。

选择 Logstash 最初读取文件的位置：开头或结尾。默认行为将文件视为实时流，因此从结尾开始。如果您有要导入的旧数据，请将其设置为 beginning。

此选项仅修改文件是新的且以前未见过时的“首次接触”情况，即 sincedb 文件（由 Logstash 读取）中未记录当前位置的文件。如果文件以前已被读取过，则此选项无效，并且将使用 sincedb 文件中记录的位置。

我们对文件进行 stat 以查看它们是否已被修改的频率（以秒为单位）。增加此间隔将减少我们进行的系统调用次数，但会增加检测新日志行的时间。

向事件添加字段

用于输入数据的编解码器。输入编解码器是在数据进入输入之前对其进行解码的便捷方法，无需在 Logstash 管道中使用单独的过滤器。

禁用或启用此特定插件实例的指标日志记录，默认情况下我们记录所有可能的指标，但您可以禁用特定插件的指标收集。

向插件配置添加唯一的 ID。如果未指定 ID，Logstash 将生成一个。强烈建议在您的配置中设置此 ID。当您有两个或多个相同类型的插件时，这尤其有用，例如，如果您有两个文件输入。在这种情况下添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  file {
    id => "my_plugin_id"
  }
}

向您的事件添加任意数量的标签。

这可以帮助以后进行处理。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

类型存储为事件本身的一部分，因此您也可以使用类型在 Kibana 中搜索它。

如果您尝试在已经拥有类型的事件上设置类型（例如，当您从发货器发送事件到索引器时），那么新的输入将不会覆盖现有类型。在发货器处设置的类型将与该事件一起存在，即使发送到另一个 Logstash 服务器也是如此。

支持的值：w week weeks，例如“2 w”、“1 week”、“4 weeks”。

支持的值：d day days，例如“2 d”、“1 day”、“2.5 days”。

支持的值：h hour hours，例如“4 h”、“1 hour”、“0.5 hours”。

支持的值：m min minute minutes，例如“45 m”、“35 min”、“1 minute”、“6 minutes”。

支持的值：s sec second seconds，例如“45 s”、“15 sec”、“1 second”、“2.5 seconds”。

支持的值：ms msec msecs，例如“500 ms”、“750 msec”、“50 msecs”

支持的值：us usec usecs，例如“600 us”、“800 usec”、“900 usecs”