Config filebeat только для чтения последних 5 дней файлов журнала

Question

У меня есть несколько файлов журнала в следующем формате каталога в папке «logs»

2019-10-22
2019-10-21
2019-10-20
2019-10-19

над каждой папкой есть файл Error.log. Я хочу прочитать эти файлы Error.log от 2019-10-20 до выше из filebeat и нажать на эластичный поиск. как я могу сделать это, используя filebeat.yml

это мой раздел filebaet.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - d:\sites\*\logs\*\Error.log

  fields:
    level: error
    application: cms

  ### Multiline options
  multiline.pattern: '^([0-9]{4}-[0-9]{2}-[0-9]{2})'
  multiline.negate: true
  multiline.match: after
  pipeline: logpipeline

Answer 1

Не думаю, что это будет идеальный ответ. Но для ситуации, вы можете использовать функцию exclude_lines в filebeat. В вашем файле filebeat.yml настройте, как показано ниже, и попробуйте.

 filebeat.inputs:

- type: log
  enabled: true
  paths:
     - /var/log/*.log

  exclude_lines: ['^2019-10-1']

Это исключит строки, начинающиеся с "2019-10-1"

Answer 2

наконец нашел это. Конфигурация ударов файла позволяет игнорировать файл по времени. Вы можете использовать его как минуты (24 с), 24 часа (24 часа), 24 дня (24 дня)

- type: log
  enabled: true
  paths:
    - d:\annywhere\logs\*\Error.log

  ignore_older: 24h