我按照关于multiline的logstash文档进行了尝试,并尝试使用基本的stdin& amp; stdout配置,但它似乎不起作用。标签“multiline”会添加到下一条消息中,但它们会以“_grokparsefailure”标记的单独条目结尾。
我错过了什么?
编辑:作为参考,我使用的是stacktrace多线过滤器。
答案 0 :(得分:1)
好的,这有点棘手,所以我想如果我在这里给出了解决方案,我将不胜感激。我在this post中找到它:只有当下一行快速到达(在1~2秒内)时才会触发多行触发器。因此,在进行实验时,如果您花时间复制并粘贴每一行,您会认为它实际上并不起作用。
答案 1 :(得分:1)
请按照blog中提到的示例进行操作。我用这种方法成功实现了多线。
有关详细说明,请提供您的配置以及示例输入消息。
答案 2 :(得分:0)
这是我的配置。我使用Logstash multiline
中的示例input {
stdin {
}
}
filter {
multiline {
# Grok pattern names are valid! :)
pattern => "^%{TIMESTAMP_ISO8601} "
negate => true
what => previous
}
}
output {
stdout {debug => true}
}
使用这些日志,多线功能对我有用。
2014-02-24 10:00:01 abcde
1qaz
2014-01-01 11:11:11
2wsx
我逐个输入日志,并在每行之间等待1分钟。所以,我没有遇到你的问题。请验证您的配置。