文件输入插件

在此模式下，插件旨在跟踪正在更改的文件，并在内容附加到每个文件时发出新内容。在此模式下，文件被视为永无止境的内容流，并且 EOF 没有特殊意义。插件始终假设会有更多内容。当文件轮换时，会检测到较小或零大小，当前位置将重置为零，并且流式传输继续。必须先看到分隔符，然后才能将累积的字符作为一行发出。

在此模式下，插件将每个文件视为内容已完成，也就是说，有限的行流，并且现在 EOF 很重要。不需要最后一个分隔符，因为 EOF 表示可以将其累积的字符作为一行发出。此外，此处的 EOF 表示可以关闭该文件并将其置于“未监视”状态 - 这会自动释放活动窗口中的空间。此模式还使得可以处理压缩文件，因为它们的内容是完整的。读取模式还允许在完全处理完文件后执行操作。

过去，尝试在仍然假设无限流的情况下模拟读取模式并不理想，而专用的读取模式是一种改进。

当设置为 true 时，此设置会在处理压缩文件之前验证其是否有效。文件会经过两次扫描——一次扫描以验证文件是否有效，另一次扫描以处理文件。

验证压缩文件需要更多处理时间，但可以防止损坏的存档导致循环。

文件输入会关闭在指定持续时间（如果指定为数字，则为秒）之前最后读取的任何文件。这会根据文件是被跟踪还是被读取而产生不同的影响。如果跟踪文件，并且传入数据的时间间隔很大，则可以关闭文件（允许打开其他文件），但在检测到新数据时会排队等待重新打开。如果读取文件，则文件会在上次读取字节后经过 close_older 秒后关闭。如果您将插件升级到 4.1.0+，并且正在读取而不是跟踪，并且不切换到使用读取模式，则会保留此设置以实现向后兼容性。

设置换行符，默认为“\n”。请注意，读取压缩文件时不会使用此设置，而是使用标准的 Windows 或 Unix 行尾符。

我们多久扩展一次 path 选项中的文件名模式，以发现要监视的新文件。此值是 stat_interval 的倍数，例如，如果 stat_interval 为 “500 毫秒”，则每 15 X 500 毫秒（7.5 秒）可以发现新文件。实际上，这将是最佳情况，因为需要考虑读取新内容所花费的时间。

控制此插件与 Elastic Common Schema (ECS) 的兼容性。

排除项（与文件名匹配，而不是完整路径）。此处也允许使用文件名模式。例如，如果您有

    path => "/var/log/*"

在 Tail 模式下，您可能需要排除 gzip 压缩的文件

    exclude => "*.gz"

此选项可以在 read 模式下使用，以强制在读取文件后关闭所有监视器。可以在文件内容是静态的并且在执行期间不会更改的情况下使用。当设置为 true 时，它还会禁用文件的活动发现 - 只会读取进程启动时目录中的文件。它支持 sincedb 条目。当文件被处理一次后被修改，则下次运行只会读取新添加的条目。

与 file_chunk_size 结合使用时，此选项设置在移动到下一个活动文件之前，从每个文件中读取多少个块（带或条纹）。例如，file_chunk_count 为 32 且 file_chunk_size 为 32KB 将处理每个活动文件中的下一个 1MB。由于默认值非常大，因此在移动到下一个活动文件之前，实际上会将文件读取到 EOF。

文件内容以块或块的形式从磁盘读取，并从块中提取行。请参阅 file_chunk_count，了解为什么以及何时更改此设置的默认值。

在 read 模式下，完成文件时应执行什么操作。如果指定 *delete*，则将删除该文件。如果指定 *log*，则会将文件的完整路径记录到 file_completed_log_path 设置中指定的文件。如果指定 log_and_delete，则会执行以上两个操作。

应将完全读取的文件路径附加到哪个文件。仅当 file_completed_action 为 *log* 或 *log_and_delete* 时，才将此路径指定给文件。重要提示：此文件仅追加 - 它可能会变得非常大。您负责文件轮换。

应使用“已监视”文件的哪个属性对其进行排序。文件可以按修改日期或完整路径字母顺序排序。以前，发现的以及因此“监视”的文件的处理顺序取决于操作系统。

在对“监视”文件进行排序时，选择升序或降序。如果首先考虑最早的数据，则 last_modified + asc 的默认值很好。如果首先考虑最新数据更重要，则选择 last_modified + desc。如果您对文件完整路径使用特殊命名约定，则 path + asc 可能会帮助控制文件处理的顺序。

当文件输入发现上次修改时间在指定持续时间（如果指定为数字，则为秒）之前的文件时，该文件将被忽略。在发现之后，如果忽略的文件被修改，则不再忽略该文件，并且会读取任何新数据。默认情况下，此选项处于禁用状态。请注意，此单位以秒为单位。

此输入在任何时候消耗的最大文件句柄数是多少。如果需要处理的文件数量超过此数量，请使用 close_older 关闭某些文件。此值不应设置为操作系统可以执行的最大值，因为其他 LS 插件和操作系统进程也需要文件句柄。内部设置的默认值为 4095。

您希望文件输入以哪种模式运行。跟踪几个文件或读取多个内容完整的文件。读取模式现在支持 gzip 文件处理。

如果指定 read，则可以使用以下设置

如果指定 read，则将忽略以下设置

用作输入的文件的路径。您可以在这里使用文件名模式，例如 /var/log/*.log。如果您使用类似 /var/log/**/*.log 的模式，则会对 /var/log 进行递归搜索，查找所有 *.log 文件。路径必须是绝对路径，不能是相对路径。

您还可以配置多个路径。请参阅Logstash 配置页面上的示例。

sincedb 记录现在具有与其关联的上次活动时间戳。如果在最近 N 天内未在跟踪的文件中检测到任何更改，则其 sincedb 跟踪记录将过期，并且不会被持久化。此选项有助于防止 inode 回收问题。Filebeat 有一个关于 inode 回收的常见问题解答。

sincedb 数据库文件的路径（跟踪受监视日志文件的当前位置），该文件将写入磁盘。默认情况下，会将 sincedb 文件写入 <path.data>/plugins/inputs/file 注意：它必须是文件路径，而不是目录路径

以秒为单位，多久写入一次包含受监视日志文件当前位置的 since 数据库。

选择 Logstash 最初开始读取文件的位置：开头或结尾。默认行为将文件视为实时流，因此从结尾开始。如果您有要导入的旧数据，请将其设置为 _beginning_。

此选项仅修改“首次接触”情况，即文件是新的且以前未见过，也就是说，在 Logstash 读取的 sincedb 文件中没有记录当前位置的文件。如果某个文件之前已经见过，则此选项无效，将使用 sincedb 文件中记录的位置。

以秒为单位，我们多久 stat 一次文件，以查看它们是否已被修改。增加此间隔将减少我们进行的系统调用次数，但会增加检测新日志行的时间。

向事件添加一个字段

用于输入数据的编解码器。输入编解码器是一种方便的方法，可以在数据进入输入之前对其进行解码，而无需在 Logstash 管道中使用单独的过滤器。

禁用或启用此特定插件实例的指标记录，默认情况下，我们会记录所有可以记录的指标，但是您可以禁用特定插件的指标收集。

向插件配置添加唯一 ID。如果未指定 ID，Logstash 将生成一个 ID。强烈建议在配置中设置此 ID。当您有两个或多个相同类型的插件时，例如，如果您有 2 个文件输入，这尤其有用。在这种情况下添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  file {
    id => "my_plugin_id"
  }
}

向您的事件添加任意数量的标签。

这有助于稍后进行处理。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

该类型存储为事件本身的一部分，因此您也可以使用该类型在 Kibana 中搜索它。

如果您尝试在已经具有类型的事件上设置类型（例如，当您将事件从托运人发送到索引器时），则新的输入不会覆盖现有类型。在托运人处设置的类型将在事件的整个生命周期中保留，即使将其发送到另一个 Logstash 服务器也是如此。

支持的值：w week weeks，例如“2 w”、“1 week”、“4 weeks”。

支持的值：d day days，例如“2 d”、“1 day”、“2.5 days”。

支持的值：h hour hours，例如“4 h”、“1 hour”、“0.5 hours”。

支持的值：m min minute minutes，例如“45 m”、“35 min”、“1 minute”、“6 minutes”。

支持的值：s sec second seconds，例如“45 s”、“15 sec”、“1 second”、“2.5 seconds”。

支持的值：ms msec msecs，例如“500 ms”、“750 msec”、“50 msecs”

支持的值：us usec usecs，例如“600 us”、“800 usec”、“900 usecs”