Logstash正在混合多行日志

时间:2015-07-23 23:50:09

标签: logging logstash logstash-forwarder

我正在使用Logstash转发器输入日志,并使用多行过滤器将日志构建到消息中(每个日志至少为2行)。问题是偶尔消息混乱。

具有3个日志的文件的示例将是

头1 Body1

头2 Body2

Header3 Body3

但是日志可能会稍后显示为

头1 Body2 Body1

头2

Header3 Body3

我正在使用stream_identity => "%{host}。%{path}。%{type}。%{file}",但由于这两个日志属于同一个文件,因此不会被违反。

这似乎是一个基于网络流量的问题,因为有时它会完美地解析所有日志,有时它几乎会扰乱所有日志。

有什么方法可以保证日志会以正确的顺序构建吗?

0 个答案:

没有答案