logstash дата матча log4j завернутые в скобках

Question

Мои журналы начать с этого:

[2017-01-12 01:02:28.975] [some other stuff] more logs. this is multiline

Я хотел бы, чтобы соответствовать этот журнал и все строки под ней - окончание записи журнала, когда я вижу новую временную метку как выше.

Мой вход выглядит следующим образом:

input { 
    file { 
    type => "my-app" 
    path => "/log/application.log" 
    start_position => "beginning" 
    sincedb_path => "/tmp/.sincedb" 
    codec => multiline { 
     pattern => "^%[{TIMESTAMP_ISO8601}]" 
     what => "previous" 
     negate => true 
    } 
    } 
} 

Это не по всей видимости, соответствие. Я знаю, что моя дата находится в формате {yyyy-MM-dd HH:mm:ss.SSS}. Я просто не понимаю, как превратить это в шаблон логсташа.

Благодаря

Answer 1

Try ниже шаблон в фильтре
match => {"message" => "%{DATA:date} %{TIME:timestamp} *%{GREEDYDATA:message}"}