.sincedb 文件中记录了每个被监听的文件的 inode, major number, minor number 和 pos。 

input {file {path => "/var/log/nginx/log_access.log"type => "nginx-access"discover_interval => 15    #logstash 每隔多久去检查一次被监听的 path 下是否有新文件。默认值是 15 秒。sincedb_path => "/etc/logstash/.sincedb"    #定义sincedb文件的位置start_position => "beginning"    #定义文件读取的位置
  }
}

exclude    不想被监听的文件可以排除出去。
close_older    已经监听的文件，若超过这个时间内没有更新，就关闭监听该文件的句柄。默认为：3600s，即一小时。
ignore_older    在每次检查文件列表时，若文件的最后修改时间超过该值，则忽略该文件。默认为：86400s，即一天。
sincedb_path    定义 .sincedb 文件路径，默认为 $HOME/.sincedb 。
sincedb_write_interval    间隔多久写一次sincedb文件，默认15s。
stat_interval    每隔多久检查被监听文件状态（是否有更新），默认为1s。
start_position    logstash从什么位置开始读取文件数据。默认为结束位置，类似 tail -f 的形式。设置为“beginning”，则从头读取，类似 cat ，到最后一行以后变成为 tail -f 。

output {kafka {bootstrap_servers => "localhost:9092"    #生产者topic_id => "nginx-access-log"    #设置写入kafka的topiccompression_type => "snappy"    #消息压缩模式，默认是none，可选gzip、snappy。
  }
}

compression_type    消息压缩模式，默认是none，有效值为：none、gzip、snappy。
asks    消息确认模式，默认为1，有效值为：0、1、all。设置为0，生产者不等待 broker 回应；设置为1，生产者会收到 leader 写入之后的回应；设置为all， leader 将要等待 in-sync 中所有的 replication 同步确认。
send_buffer_bytes    TCP发送数据时的缓冲区的大小。

 output {kafka {codec => plain {format => "%{message}"}}
}

input {kafka {zk_connect => "localhost:2181"    #zookeeper地址topic_id => "nginx-access-log"    #kafka中topic名称，记得创建该topicgroup_id => "nginx-access-log"     #默认为“logstash”codec => "plain"    #与Shipper端output配置项一致consumer_threads => 1    #消费的线程数decorate_events => true    #在输出消息的时候回输出自身的信息，包括：消费消息的大小、topic来源以及consumer的group信息。type => "nginx-access-log"      }
}

output {elasticsearch {hosts => ["localhost:9200"]    //Elasticsearch 地址，多个地址以逗号分隔。
        index => "logstash-%{type}-%{+YYYY.MM.dd}"    //索引命名方式，不支持大写字母（Logstash除外）
        document_type => "%{type}"    //文档类型
        workers => 1flush_size => 20000    //向Elasticsearch批量发送数据的条数
        idle_flush_time => 10    //向Elasticsearch批量发送数据的时间间隔，即使不满足 flush_size 也会发送
        template_overwrite => true    //设置为true，将会把自定义的模板覆盖logstash自带模板
    }
}