我正在解析应用程序日志。日志条目有多行,因此我使用多行设施,从匹配时间戳模式的那一刻开始定义一个日志条目,直到匹配另一个时间戳。这样做的问题是永远不会发送最新的条目(这将是一个新的条目添加,但它不会是最新的)。贝娄是我的配置:
codec => multiline {
pattern => '^20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})'
negate => true
what => 'previous'
}
您对如何改善这一点有什么建议吗?