filebeat相關registry文件內容解析

　　filebeat的registry文件中存放的是被採集的全部日誌的相關信息。

　　linux中registry中一條日誌記錄的內容以下

{"source":"/var/log/messages","offset":5912,"FileStateOS":{"inode":38382035,"device":64768},"timestamp":"2017-03-13T18:17:54.39159179+08:00","ttl":-1}

　　這條記錄中的各個字段的意義分別爲

source 日誌文件完整路徑
offset　已經採集的日誌的字節數;已經採集到日誌的哪一個字節位置
filestateos　　操做系統相關
　　inode　　日誌文件的inode號
　　device    日誌所在磁盤的磁盤編號
　　timestamp　　日誌最後一次發生變化的時間戳
　　ttl　　採集失效時間。-1表示只要日誌存在，就一直採集該日誌    

　　device一列的數字64768有些難理解。這個數字能夠經過stat命令獲得:

stat /var/log/messages
  File: "/var/log/messages"
  Size: 3964            Blocks: 8          IO Block: 4096   普通文件
Device: fd00h/64768d    Inode: 2228688     Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2017-12-17 03:20:01.177559387 +0800
Modify: 2017-12-22 11:01:19.401186654 +0800
Change: 2017-12-22 11:01:19.401186654 +0800

　　64768爲十進制數，對應十六進制數fd00，對應磁盤爲fd,00即253, 0

# ll /dev/dm-0
brw-rw----. 1 root disk 253, 0 8月  17 19:30 /dev/dm-0
# ll /dev/root
lrwxrwxrwx. 1 root root 4 8月  17 19:30 /dev/root -> dm-0
# ll /dev/VolGroup/
總用量 0
lrwxrwxrwx. 1 root root 7 11月 17 10:37 lv_home -> ../dm-2
lrwxrwxrwx. 1 root root 7 8月  17 19:30 lv_root -> ../dm-0
lrwxrwxrwx. 1 root root 7 8月  17 19:30 lv_swap -> ../dm-1

　　windows中registry內容以下

[{"source":"D:\\zwl\\filebeat\\error.log","offset":92937960,"FileStateOS":{"idxhi":131072,"idxlo":40032,"vol":4070684760},"timestamp":"2017-08-22T11:26:52.887343+08:00","ttl":-1}

　　

source 日誌文件完整路徑
offset　已經採集的日誌的字節數;已經採集到日誌的哪一個字節位置
filestateos　　操做系統相關
　　idxhi/idxlo/vol    On windows the pair of (volume, idxhi, idxlo) uniquely identifies a file.
　　timestamp　　日誌最後一次發生變化的時間戳
　　ttl　　採集失效時間。-1表示只要日誌存在，就一直採集該日誌