我们在Openshift Container Platform 4.3版上实现了EFK。
问题: 在Fluentd中,多行日志(例如Java Stack跟踪,SQL查询)没有被解析为单个事件,因此,我们在Kibana中获得了多个条目。 我们需要将多行日志解析为一个事件,以便在Kibana中获得一个用于异常或SQL查询的条目。
答案 0 :(得分:0)
容易:将应用程序日志记录格式切换为json。
硬:https://docs.fluentd.org/parser/multiline。
通常format_firstline和format1就足够了-其他所有内容都会附加到下一个format_firstline匹配为止。