我有一些新行分隔的日志文件。为了成功地理解它们,我尝试使用多行编解码器将所有内容合并为一条消息:
********
start of end of log file
some more interesting logs
end of log file
这可以成功运行,但是在日志文件非常长的情况下,我会收到"达到的最大行数"警告以及_grokparsefailure。
日志文件都以类似的格式结束,这不是太长,这是我感兴趣的部分。日志文件的结尾以一系列星号开头,例如:
ErrorDataReceived如何告诉logstash从星号开始抓取所有内容作为一条消息,然后放弃其余消息?