我有一种日志文件,可能包含带有Java错误描述的行。这些行没有带时间戳,因此我尝试使用另一个仅在我的文件中出现一次的日期作为每个匹配的时间戳。
这可能吗?只有匹配一次的字段可以添加到每个进一步的匹配中吗?
答案 0 :(得分:0)
你可以看看我为一个非常相似的问题提供的答案:Logstash: How to save an entry from earlier in a log for use across multiple lines later in the log?但是有一个严重的警告:如果你“错过”时间线(例如,如果你重新启动logstash,或者你没有 memorize fitler已作为拉取请求提交,因此有可能将其包含在未来版本的logstash中。