如何为日期行多行Logstash?

时间:2019-02-24 17:19:04

标签: elasticsearch logstash logstash-grok filebeat

我的日志中包含一些不以日期开头的行,我想多行显示以前包含日期的行。除非将模式'^%{YEAR}'与否定符一起使用:true和previous不起作用(即stdin节是否存在并没有区别,并将它们视为单独的行)。

要使它正常工作的配置是什么?使用相同的模式,我还尝试否定false,之后在yml中也进行了不同的组合。

2019/02/13  10:46:14.9282   SomeStuff
ErrorLine1
ErrorLine2
ErrorLine3
etc.
2019/02/13  10:46:14.9282   OtherStuff

2019/02/13  10:46:14.9282   SomeStuff ErrorLine1 ErrorLine2 ErrorLine3 etc.
2019/02/13  10:46:14.9282   OtherStuff

https://www.elastic.co/guide/en/logstash/current/plugins-codecs-multiline.html 

input {
    beats {
        port => "5044"
    }

  stdin {
    codec => multiline {
      pattern => "^%{YEAR}"
      negate => true
      what => "previous"
      }
  }
}

filter {
}

output {
     stdout { codec => rubydebug }
}

0 个答案:

没有答案
相关问题
最新问题