2. 질의 응답
  3. Filebeat의 여러 코덱은 내가 아래</p> <pre><code>multiline.pattern: '^%{TIMESTAMP_ISO8601} ' multiline.negate: true multiline.match: after </code></pre> <p>처럼 filebeat.yml에 여러 코덱을 정의하지만 같이 함께 추가 얻을 로그의 여러 라인을 작동하지 않는 것

Filebeat의 여러 코덱은 내가 아래</p> <pre><code>multiline.pattern: '^%{TIMESTAMP_ISO8601} ' multiline.negate: true multiline.match: after </code></pre> <p>처럼 filebeat.yml에 여러 코덱을 정의하지만 같이 함께 추가 얻을 로그의 여러 라인을 작동하지 않는 것

2017-05-09 12 views
0

내 경우에는 작동하지Filebeat의 여러 코덱은 내가 아래</p> <pre><code>multiline.pattern: '^%{TIMESTAMP_ISO8601} ' multiline.negate: true multiline.match: after </code></pre> <p>처럼 filebeat.yml에 여러 코덱을 정의하지만 같이 함께 추가 얻을 로그의 여러 라인을 작동하지 않는 것

아래 파싱 ​​후 여러 줄의 탄성에 저장된 검색 로그 

2017-05-07 22:29:43 [0] [pool-2-thread-1] INFO c.app.task.ChannelActiveCheckTask - ---- 
Inside checkIfChannelActive execution ----

해당 로그의

단일 라인

, 
---- Inside checkIfChannelActive execution ---- 2017-05-09 08:16:13 [0] [pool-2-thread-1] INFO 
    XYZZ - XYZ :: XYZ 2017-05-09 08:16:13 [0] [pool-2-thread-1] INFO XYZ - XYZYZZ

이후 위의 작동하지 않았다, 나는 또한 멀티 패턴 아래는하지만이 작동하지 않습니다 사용하여 시도도 아래 

multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}'

내 logstash.conf 

input { 
beats { 
port => 5044 
} 
} 

filter { 
mutate { 
gsub => ["message", "\n", " "] 
} 
grok { 
match => [ "message", "%{TIMESTAMP_ISO8601:timestamp} [%{NOTSPACE:uid}] [% 
{NOTSPACE:thread}] %{LOGLEVEL:loglevel} %{DATA:class}-%{GREEDYDATA:message}" ] 
overwrite => [ "message" ] 
} 
date { 
match => [ "timestamp" , "yyyy-MM-dd HH:mm:ss" ] 
target => "@timestamp" 
} 
if "_grokparsefailure" in [tags] { 
drop { } 
} 
} 

output { 
elasticsearch { 
hosts => localhost 
index => "%{type}-%{+YYYY.MM.dd}" 
} 
}

수있는 사람의 도움이됩니다 내가 고칠 수 있니?

출처

2017-05-09 Aarish Ramesh

답변

 관련 문제

  • 관련 문제 없음^_^