Logstash多行过滤器 - 自定义消息

时间:2015-03-06 16:11:55

标签: logstash kibana

我需要添加一个cutom logstash过滤器才能正确使用它与kibana。 我的自定义日志采用以下格式:

[2015-03-06 16:00:06] Erroneous response from facebook
Invalid OAuth access token.
{
    "error": {
        "message": "Invalid OAuth access token.",
        "type": "OAuthException",
        "code": 190
    }
}
[2015-03-06 16:00:06] Erroneous response from facebook
Invalid OAuth access token.
{
    "error": {
        "message": "Invalid OAuth access token.",
        "type": "OAuthException",
        "code": 190
    }
}

例如上面我粘贴了两个不同的消息。 我与我的转发器和logstash服务器有什么关系,只收集一条消息而不是每条消息一条消息?

感谢。

1 个答案:

答案 0 :(得分:0)

正如您所提到的,您需要一个多线过滤器。这样的事情可能有用:

filter {
    multiline {
      negate => 'true'
      pattern => "^\[%{TIMESTAMP_ISO8601}"
      what => 'previous'
    }
  }
}
相关问题
最新问题