我正在寻找一个logstash多线过滤器。以下是我的要求:
第一部分是空格和空行,但如何添加第二部分。
multiline { pattern => "^\s|^$" what => "previous" }
答案 0 :(得分:0)
据我所知,你可以忽略第一个条件,因为它描述了第二个条件中的行的子集,即第一个条件为真的任何行也匹配第二个条件。因此,您应该能够使用以下内容(根据时间戳格式进行调整):
multiline {
pattern => "^%{TIMESTAMP_ISO8601} "
negate => true
what => "previous"
}