我正在尝试使用logstash解析此多行日志。我的日志如下所示
==> /var/log/mail/log/alerting.log <==
2016/01/30 08:40:29 , worker_1 ,
{u'name': u'high', u'type': u'alert', u'alertid': 1122, u'queue_in_time': u'2016-01-30 08:40:29', u'path': u'/var/log/mail/log/alert.log'}
但我不确定如何设置配置文件。我的配置文件如下所示:
input {
file {
path => "/logs/var/alerts.log"
type => "queue"
start_position => "beginning"
codec =>multiline{
pattern => "==>"
negate => true
what => previous
}
}
}
filter {
if [type] == 'application'{
date {
match => [ "timestamp" , "yyyy/MM/dd HH:mm:ss" ]
}
}
}
output {
stdout { }
}
有人能告诉我如何为这种日志配置过滤器吗? 我是ELK堆栈的新手,无法理解如何配置配置文件以解析自定义日志。