Logstash多行编解码器无法使用我的模式

时间:2015-09-27 14:00:17

标签: logstash multiline codec logstash-grok

我一直在使用logstash的多行编解码器来处理我的java异常。然而,最近我想捕获更多的东西,因此使用了另一种模式。这导致我的logstash不读取文件,即使我使用sincedb_path属性。

我的配置文件 - 

input {
        file {
           type => "pa"
           path => "/home/jigar/POC/Docs/smalllogs/test"
           codec => multiline {
                pattern => "^%{DATESTAMP}"
                negate => true
                what => "previous"
           }
           start_position => "beginning"
           sincedb_path => "/dev/null"
        }
}

filter {
         grok {
           match => [ "message", "%{DATESTAMP:actualTimeStamp}%{SPACE}%{LOGLEVEL:level}%{SPACE}%{GREEDYDATA:identifier}%{SYSLOG5424SD:Id}%{SPACE}%{JAVACLASS:package}:%{INT:lineNum}%{SPACE}-%{SPACE}%{DATA:mydata}\n(\t)?%{GREEDYDATA:stack}" ]
         }
}

output {
  elasticsearch {
        cluster => "smartdebugger"
        protocol => "http"
        host => "localhost"
  }
  stdout { codec =>rubydebug }
}

有人可以帮我解释为什么logstash无法读取文件。

0 个答案:

没有答案
相关问题
最新问题