Instalé Logstash para analizar archivos apache. Me tomó bastante tiempo q para obtener la configuración correcta y siempre probé en registros reales. Noté (como dice la documentación) que logstash "recuerda" dónde estaba en un archivo. Ahora mis configuraciones están bien y me gustaría que Logstash se "olvide". Esto parece más difícil que yo sin embargo. Ya hice lo siguiente:

usado:start_position => "beginning"

eliminó la carpeta de "datos" completa de elastissearch (y la detuvo primero)

miró en qué archivos se abrieron por logstash conlsof -p PID y borré todo lo que era prometedor (en mi caso/tmp/jffi*.tmp)

Still Logstash no se olvida y analiza solo los archivos "nuevos" en la carpeta donde se encuentran los registros

¿Algunas ideas?