我希望在一个日志中将多行合并为ES中的一条记录,这是我的多行配置部分。
multiline.negate: '^[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2},[0-9]{3}'
multiline.negate: true
multiline.match: after
但是它不能按预期工作,它总是将每一行记录到ES中。
答案 0 :(得分:0)
多行字段应在filebeat.inputs下: 例如:
filebeat.inputs:
-type: log
...
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2},[0-9]{3}'
multiline.negate: true
multiline.match: after
...