elasticsearch - Filebeat多行模式

标签 elasticsearch logstash filebeat

enter image description here
在日志消息的图片堆栈跟踪中,采用新的日志行
我希望他们在一个日志中。
怎么做 ?
这是我的模式

  multiline.pattern: '^[[:space:]]'
  multiline.negate: false
  multiline.match: after

最佳答案

从屏幕快照中提供的日志示例中,似乎每个新事件都从日期开始,因此如下所示的多行模式应该有效。

multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after
以前,我已经做了类似的事情来提取IBM BPM System日志,并且不得不将multiline.max_lines增加到1000,因为缺省值500不足以提取整个堆栈跟踪。

关于elasticsearch - Filebeat多行模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64254968/

上一篇:powershell - 命令和ScriptBlock Powershell之间的区别

下一篇:powershell - 在 Powershell 中发布具有相同名称的表单字段

相关文章:

elasticsearch - 无法使用分析器在复合查询中进行搜索

elasticsearch - 在Elasticsearch中结合内在命中?

postgresql - 无法将PostgreSQL中的JSON插入elasticsearch中。出现错误- “Exception when executing JDBC query”

elasticsearch - 将Elasticsearch索引与数据库记录进行比较以确定状态不一致的工具

elasticsearch - filebeat配置以将日志文件发送到cloudfoundry中安装的ELK

elasticsearch - 如果它们包含特定字段,如何限制Filebeat仅将日志发送到ELK?

logstash - Beat 和 Logstash - 连接被同行重置

elasticsearch - Logstash 中的环境变量未被正确解析

elasticsearch - Logstash 提取嵌套字段并将其移动到新的父字段中

elasticsearch - 使用Logstash “%{[source]}”仅显示Elasticsearch Index的文件名

©2024 IT工具网  联系我们