logstash многострочный фильтр для Звездочка

# проблемы конфигурации Logstashlogstash многострочный фильтр для Звездочка

Моя текущая файл_журнала выглядит следующим образом:

INFO - 2015-06-22 6:55:11 - \ п ******* ************************************************** ************************* \ n ********* XXXXXXXXXXXXXXXXXXXX 2015-06-22 06: 55: 11 \ n * ********* Часовой пояс: Стандартное тихоокеанское время или Америка/Лос-Анжелес \ n ***************************** ************************************************** *** \ n \ n \ nINFO - 2015-06-22 06:55:32 - Готовые модули разъемов для загрузки

На logstash я применил фильтр многострочный

multiline { 
     pattern => "%{LOGLEVEL}" 
     what => "next" 
     negate => true 
     }

Я ожидал, что выход

INFO - 2015-06-22 6:55:11 - \ п *** ************************************************** ***************************** \ n ********* XXXXXXXXXXXXXXXXXXXX 2015-06-22 06:55: 11 \ n ********** Часовой пояс: Стандартное тихоокеанское время или Америка/Los_Angeles \ n ************************* ************************************************** *******

INFO - 2015-06-22 6:55:32 - Готовые модули загрузки разъем

Но я получаю результат как

INFO - 2015-06-22 06:55:11 -

\ п ********************************** ************************************************ \ п ********* XXXXXXXXXXXXXXXXXXXXX 2015-06-22 06: 55: 11 \ п ********** часовой пояс Стандартное тихоокеанское время или Америка/Los_Angeles

\ n ****************************************** ************************************* *** \ n \ n \ nINFO - 2015-06-22 06:55:32 - Готовые модули соединителей загрузки

Может ли кто-нибудь предложить, где я ошибаюсь в многострочном шаблоне?

источник

2015-07-10 Avik Das

В вашей конфигурации говорится: «Если строка не содержит LOGLEVEL, сохраните ее со следующей строкой».

Вам нужно «предыдущее», и «начинается с LOGLEVEL» не повредит.

источник

2015-07-10 22:33:48

logstash многострочный фильтр для Звездочка

ответ

Смежные вопросы