文件输入插件

在此模式下，插件旨在跟踪更改的文件并在新内容追加到每个文件时发出新内容。在此模式下，文件被视为永无止境的内容流，EOF 没有特殊意义。插件始终假设会有更多内容。当文件被轮换时，检测到较小或零大小，当前位置重置为零，流式传输继续。在累积的字符可以作为一行发出之前，必须看到一个分隔符。

在此模式下，插件将每个文件视为内容完整，即有限的行流，现在 EOF 非常重要。不需要最后一个分隔符，因为 EOF 意味着累积的字符可以作为一行发出。此外，EOF 在这里意味着文件可以关闭并置于“未监视”状态 - 这会自动释放活动窗口中的空间。此模式还可以在压缩文件内容完整时对其进行处理。读取模式还允许在完全处理文件后执行操作。

过去，在仍然假设无限流的情况下尝试模拟读取模式并不理想，而专用读取模式是一种改进。

设置为 true 时，此设置会在处理压缩文件之前验证其是否有效。文件会经过两次传递 - 一次传递用于验证文件是否有效，另一次传递用于处理文件。

验证压缩文件需要更多处理时间，但可以防止损坏的存档导致循环。

文件输入会关闭在指定持续时间（如果指定了数字，则为秒）之前最后一次读取的所有文件。根据文件是被跟踪还是被读取，这将产生不同的影响。如果正在跟踪，并且传入数据中存在较大的时间间隔，则文件可以关闭（允许打开其他文件），但在检测到新数据时将排队等待重新打开。如果正在读取，则文件将在从最后一次读取字节后的 closed_older 秒后关闭。如果您将插件升级到 4.1.0+、正在读取而不是跟踪并且不切换到使用读取模式，则此设置将保留以实现向后兼容性。

设置换行符，默认为“\n”。请注意，读取压缩文件时不使用此设置，而是使用标准的 Windows 或 Unix 行尾。

我们扩展 path 选项中的文件名模式以发现要监视的新文件的频率。此值为 stat_interval 的倍数，例如，如果 stat_interval 为“500 毫秒”，则可以每 15 x 500 毫秒（7.5 秒）发现一次新文件。实际上，这将是最好的情况，因为需要考虑读取新内容所花费的时间。

控制此插件与 弹性通用模式 (ECS) 的兼容性。

排除项（与文件名匹配，而不是完整路径）。文件名模式在此处也有效。例如，如果您有

    path => "/var/log/*"

在尾部模式下，您可能希望排除 gzip 文件

    exclude => "*.gz"

此选项可以在 read 模式下使用，以强制在读取文件时关闭所有观察程序。可以在文件内容静态且在执行期间不会更改的情况下使用。设置为 true 时，它还会禁用文件的主动发现 - 只会读取进程启动时目录中的文件。它支持 sincedb 条目。如果文件已处理一次，然后进行了修改，则下次运行将只读取新添加的条目。

与 file_chunk_size 结合使用时，此选项设置在移至下一个活动文件之前从每个文件读取的块（带区或条带）数量。例如，file_chunk_count 为 32 且 file_chunk_size 为 32KB 将处理每个活动文件中的下一个 1MB。由于默认值非常大，因此在移至下一个活动文件之前，文件实际上已读取到 EOF。

文件内容以块或块的形式从磁盘读取，并从块中提取行。请参阅 file_chunk_count 了解为何以及何时更改此设置的默认值。

在 read 模式下，当文件处理完成后应执行的操作。如果指定了 delete，则文件将被删除。如果指定了 log，则文件的完整路径将记录到 file_completed_log_path 设置中指定的文件中。如果指定了 log_and_delete，则会执行上述两个操作。

应将完全读取的文件路径追加到哪个文件。仅当 file_completed_action 为 log 或 log_and_delete 时，才将此路径指定到文件。重要提示：此文件仅追加 - 它可能会变得非常大。您负责文件轮换。

应使用“已监视”文件的哪个属性对其进行排序。文件可以按修改日期或完整路径字母顺序排序。以前，发现的以及因此“已监视”文件的处理顺序取决于操作系统。

对“已监视”文件进行排序时，选择升序或降序。如果最旧的数据优先，则默认值 last_modified + asc 很好。如果最新的数据更重要，则选择 last_modified + desc。如果您对文件完整路径使用特殊的命名约定，则 path + asc 可能有助于控制文件处理的顺序。

当文件输入发现上次修改时间早于指定持续时间（如果指定了数字，则为秒）的文件时，该文件将被忽略。发现后，如果修改了被忽略的文件，则不再忽略该文件，并且会读取任何新数据。默认情况下，此选项处于禁用状态。请注意，此单位为秒。

此输入在任何时候最多可使用的文件句柄数。 如果您需要处理的文件数量超过此数字，请使用 close_older 关闭一些文件。 此值不应设置为操作系统允许的最大值，因为其他 LS 插件和操作系统进程也需要文件句柄。 内部默认设置为 4095。

您希望文件输入以哪种模式运行。 跟踪少量文件或读取许多内容完整的文件。 读取模式现在支持 gzip 文件处理。

如果指定了 read，则可以使用以下设置

如果指定了 read，则忽略以下设置

要用作输入的一个或多个文件的路径。 您可以在此处使用文件名模式，例如 /var/log/*.log。 如果您使用 /var/log/**/*.log 之类的模式，则将对 /var/log 进行递归搜索以查找所有 *.log 文件。 路径必须是绝对路径，不能是相对路径。

您也可以配置多个路径。 请参阅Logstash 配置页面上的示例。

sincedb 记录现在具有与其关联的上次活动时间戳。 如果在过去 N 天内未检测到跟踪文件中的更改，则其 sincedb 跟踪记录将过期，并且不会被持久化。 此选项有助于防止 inode 回收问题。 Filebeat 有一个关于inode 回收的常见问题解答。

将写入磁盘的 sincedb 数据库文件（跟踪已监控日志文件的当前位置）的路径。 默认情况下，sincedb 文件将写入 <path.data>/plugins/inputs/file 注意：它必须是文件路径，而不是目录路径

写入包含已监控日志文件当前位置的 since 数据库的频率（以秒为单位）。

选择 Logstash 最初开始读取文件的位置：开头还是结尾。 默认行为将文件视为实时流，因此从结尾开始。 如果您有要导入的旧数据，请将其设置为*开头*。

此选项仅修改文件是新的且以前从未见过的“首次接触”情况，即 Logstash 读取的 sincedb 文件中没有记录当前位置的文件。 如果以前已经见过某个文件，则此选项无效，并且将使用 sincedb 文件中记录的位置。

我们对文件进行统计以查看其是否已被修改的频率（以秒为单位）。 增加此间隔将减少我们进行的系统调用次数，但会增加检测新日志行的时间。

向事件添加字段

用于输入数据的编解码器。 输入编解码器是一种方便的方法，可以在数据进入输入之前对其进行解码，而无需在 Logstash 管道中使用单独的过滤器。

默认情况下，禁用或启用此特定插件实例的指标日志记录，我们会记录所有可以记录的指标，但您可以禁用特定插件的指标收集。

向插件配置添加唯一的 ID。 如果未指定 ID，Logstash 将生成一个。 强烈建议您在配置中设置此 ID。 当您有两个或多个相同类型的插件时，例如，如果您有两个文件输入，这将特别有用。 在这种情况下，添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  file {
    id => "my_plugin_id"
  }
}

向您的事件添加任意数量的任意标签。

这有助于以后的处理。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

类型存储为事件本身的一部分，因此您也可以使用类型在 Kibana 中搜索它。

如果您尝试在已经具有类型的事件上设置类型（例如，当您将事件从传送器发送到索引器时），则新输入不会覆盖现有类型。 在传送器处设置的类型将始终保留在该事件中，即使将其发送到另一个 Logstash 服务器也是如此。

支持的值：w week weeks，例如“2 w”、“1 week”、“4 weeks”。

支持的值：d day days，例如“2 d”、“1 day”、“2.5 days”。

支持的值：h hour hours，例如“4 h”、“1 hour”、“0.5 hours”。

支持的值：m min minute minutes，例如“45 m”、“35 min”、“1 minute”、“6 minutes”。

支持的值：s sec second seconds，例如“45 s”、“15 sec”、“1 second”、“2.5 seconds”。

支持的值：ms msec msecs，例如“500 ms”、“750 msec”、“50 msecs

支持的值：us usec usecs，例如“600 us”、“800 usec”、“900 usecs”