我有一个在Ubuntu服务器上运行的ELK堆栈。我想从运行filebeat的Windows服务器之一获取日志。我已经尝试了所有方法,但是Iam无法获得多行日志。另外请注意,我已成功获取iis日志,这意味着filebeat运行良好,这只是多行日志的问题。
这是我的filebeat.yml:
- type: log
enabled: true
paths:
- C:\ELK-Logger\*.txt
fields_under_root: true
fields:
type: errorlogs
multiline.pattern: '^%{TIMESTAMP_ISO8601}'
multiline.negate: false
multiline.match: after
这是我的日志:
2019-01-02T14:33:30.7269760+03:00:: System.Collections.ListDictionaryInternal Column 'ParentId' does not belong to table Table3. at System.Data.DataRow.GetDataColumn(String columnName)
at System.Data.DataRow.get_Item(String columnName)
at Common.DTOs.B2BPermission.PermissionDTO.GetPermissions(DataTable dt)
at DataProvider.DataAccess.UserDA.GetCaxPermissionsFromList(DataTable dt)-------------------------------------------------------------------------------------------
这是我的logstash conf:
filter {
if [type] == "errorlogs" {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:TIME}:: %{JAVACLASS:SYSTEM} (?<ERROR>(.|\r|\n)*)"}
}
}
}