События журнала, обработанные Logstash, заканчиваются в Loggly четыре раза

Question

Мои события журнала, которые анализируются Logstash, заканчиваются в Loggly четыре раза. Что может быть причиной этого?

Примером может служить линия:

2014-11-05 01:52:55,485 PM PST [localhost-startStop-1] INFO o.s.web.context.ContextLoader - Root WebApplicationContext: initialization started 

Похоже, это в Loggly:

Мой Logstash конфигурационный файл выглядит следующим образом:

input { 
    file { 
    type => "advcore-error" 
    path => [ "/var/company/tomcat/logs/error/advcore-error.log"] 
    sincedb_path => "$HOME/.sincedb" 
    } 
} 

filter { 
    if [type] == "advcore-error" { 
    grok { 
     pattern => "%{DATE_US} %{TIME},%{DATA:offset} %{DATA:meridian} %{DATA:timezone} \[%{DATA:thread}\] %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" 
     add_tag => "advcore-error" 
    } 
    } 
} 

output { 
    loggly { 
    codec => "plain" 
    host => "logs-01.loggly.com" 
    key => "<my-secret-key>" 
    proto => "http" 
    workers => 1 
    } 
} 

Answer 1

Я понял вопрос.

У меня было три других конфигурационных файла Logstash (четыре всего), каждый из которых имел одинаковые блоки Loggly output.

Я не понял, что блок output в другом конфигурационном файле все равно будет передавать данные из всех файлов конфигурации.

Похоже, что файлы конфигурации в данном каталоге Logstash templates (и, возможно, в другом месте?) Эффективно действуют как один большой файл.