我最近2天坚持这个问题。我正在使用logstash从转发器接收日志。我正在使用多行过滤器来匹配日志并使用grok模式解析日志。所有工作正常。除了最后一行日志。
multiline {
patterns_dir => "/patterns"
pattern => "^\[%{OBIEE_DATESTAMP}\]"
negate => true
what => "previous"
enable_flush => true
stream_identity => "%{host}.%{type}"
}
if [type] == "nqcluster" {
grok {
patterns_dir => "/patterns"
match => [ "message", "%{OBIEE_CC_LOG}" ]
}
}
使用enable_flush选项后,它也会占用最后一行日志。但它会产生重复的标签值,如下所示。
"timestamp" => [
[0] "2015-02-21T12:10:39.000+05:30",
[1] "2015-02-21T12:10:39.000+05:30"
],
"AppName" => [
[0] "OracleBIClusterControllerComponent",
[1] "OracleBIClusterControllerComponent"
],
请帮我解决这个问题。