logstash 中多行合并

Posted BigBao的博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了logstash 中多行合并相关的知识,希望对你有一定的参考价值。

这里我之前是在input里面配置的多行合并,合并语法为:

input {
        beats {
          type => beats
          port => 7001
          codec => multiline {
            patterns_dir => ["/data/package/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.2/patterns"]
            pattern => ".*#ELK#.*"
            what => "previous"
            negate => true

        }
        }
}

 

这里我们也可以再filter里面使用multiline插件来合并多行

logstash 在filter里设置多行合并 
filter {
  multiline {
    pattern => ".*TRACE.*"
    what => "previous"
  }
}

https://groups.google.com/forum/#!topic/logstash-users/7LFyeIQMmEM

 

以上是关于logstash 中多行合并的主要内容,如果未能解决你的问题,请参考以下文章

logstash收集java日志,多行合并成一行

logstash之multiline插件,匹配多行日志

es 无日志,logstash 报错

logstash怎么解析一条日志

ELK之三-----JAVA日志多行合并tomcat json日志收集与处理

Graylog处理docker容器的多行日志之过程记录