我正在调试的应用程序创建的日志文件包含许多被记录为两个事件的API调用:
timestamp1 request_ip-->{$URL}
timestamp2 response_ip<--{$DATA}
我最近开始使用LogStash将日志倒入ElasticSearch中(使用Kibana作为Web前端)。
有什么方法可以搜索附近的线路吗?假设请求和响应始终是连续的(如果有帮助的话)。
使用grep,我可以做到:
grep -A 1 "-->{$URL}"
如何对现有LogStash + ElasticSearch部署执行相同操作?
最佳答案
我认为这是multi-line filter in LogStash的情况。虽然我不确定确切的详细信息,所以我不会为您构建RegEx,但是您的模式将围绕request_ip,而连接多行的“what”将围绕response_ip而成为正则表达式。我不确定我说的话是否足够清楚,但是文档链接应该为您提供线索。希望这可以帮助。
关于grep - Grep喜欢来自ElasticSearch的附近线,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15925314/