filebeat多行模式

b4wnujal  于 2021-06-14  发布在  ElasticSearch
关注(0)|答案(1)|浏览(408)

在此处输入图像描述
在图片stacktrace日志消息采取新的日志行我想他们在一个日志。怎么做?这是我的模式

multiline.pattern: '^[[:space:]]'
  multiline.negate: false
  multiline.match: after
zc0qhyus

zc0qhyus1#

从截图中提供的日志示例来看,似乎每个新事件都是以日期开始的,所以下面这样的多行模式应该可以工作。

multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after

我以前也做过类似的事情来接收ibmbpm系统日志,因此必须增加 multiline.max_lines1000 因为默认值500不足以获取整个堆栈跟踪。

相关问题