我没有使用props.conf。所以我想这是默认行为。
以下是单个日志:
2018-07-19 13:30:40.293 +0000 [http8080] INFO RequestFilter- {
"transaction_id" : "aaaaaaaaawwwwwwww",
"http_method" : "POST",
"date_time" : "2018-07-19 13:30:34.694 +0000",
"requestId" : "20180719-dc7bc01d-b02c-43c8-932b-42af542ccefb"
}
但它有2个事件
2018-07-19 13:30:40.293 +0000 [http8080] INFO RequestFilter- {
"transaction_id" : "aaaaaaaaawwwwwwww",
"http_method" : "POST",
和
"date_time" : "2018-07-19 13:30:34.694 +0000",
"requestId" : "20180719-dc7bc01d-b02c-43c8-932b-42af542ccefb"
}
它总是从“ date_time”开始中断
有什么建议吗?我该如何解决?
答案 0 :(得分:2)
您需要调整props.conf才能更改事件中断逻辑。默认情况下,它将在检测到适合大多数日志格式的有效时间戳时中断。
此正则表达式应仅与第一行匹配:
LINE_BREAKER = \d{4}-\d{2}-\d{2}\s+\d{2}:\d{2}:\d{2}.\d{3}\s+\+\d{4}\s+\[.*\]
SHOULD_LINEMERGE = false