我正在尝试使用多行文件管理器将相当长的java异常堆栈跟踪与主日志消息结合起来。我正在使用此处显示的示例https://gist.github.com/smougenot/3182192
以下是我的代码:
input{
stdin{}
}
filter{
multiline {
pattern => "(^.+Exception: .+)|(^\s+at .+)|(^\s+... \d+ more)|(^\s*Caused by:.+)"
what => "previous"
}
}
但是,不是将堆栈跟踪组合到一个事件中,而是将其自动分段为多个不同的日志。
我似乎无法理解为什么?我尝试使用编解码器而不是过滤器,但问题仍然存在。