例如,我有一些sql日志:
< 2019-03-13 09:50:50.431 CET >WYRAŻENIE: SELECT
SELECT column1, column2, ...
FROM table_name
ORDER BY column1, column2, ... ASC|DESC;
< 2019-03-13 09:58:50.943 CET >UWAGA: detail: RUCH_KRADZ, 0.05, sum: 0.25, date: 2019-03-03
在kibana中,每一行都是单独的日志。 在filebeat中,我有:
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /opt/tomcat/logs/*.json
- /var/lib/psql/logs/*
我希望仅将/var/lib/psql/logs/*的日志作为一个截止日期。因此,在上面的示例中,我们在Kibana中应该有2条日志,而不是5条-这是行数。
答案 0 :(得分:2)
在filebeat配置中,您可以定义多个输入节,每个节可以有自己的选项
multiline.pattern指定要匹配的正则表达式模式,其中消息的第一行以方括号(<)
filebeat.inputs:
- type: log
enabled: true
paths:
- /opt/tomcat/logs/*.json
- type: log
enabled: true
paths:
- /var/lib/psql/logs/*
multiline.pattern: '^<'
multiline.negate: true
multiline.match: after
在此处查看有关Manage multiline messages
的更多详细信息