Filebeat 多行模式
Filebeat multiline pattern
enter image description here
在日志消息的堆栈跟踪图片中采用新的日志行
我希望它们在一个日志中。
怎么做 ?
这是我的模式
multiline.pattern: '^[[:space:]]'
multiline.negate: false
multiline.match: after
从屏幕截图中提供的日志样本来看,似乎每个新事件都以日期开始,因此像下面这样的多行模式应该可以工作。
multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after
我之前为摄取 IBM BPM 系统日志做过类似的事情,并且不得不将 multiline.max_lines 增加到 1000,因为默认的 500 不足以摄取整个堆栈跟踪。
enter image description here
在日志消息的堆栈跟踪图片中采用新的日志行 我希望它们在一个日志中。 怎么做 ? 这是我的模式
multiline.pattern: '^[[:space:]]'
multiline.negate: false
multiline.match: after
从屏幕截图中提供的日志样本来看,似乎每个新事件都以日期开始,因此像下面这样的多行模式应该可以工作。
multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after
我之前为摄取 IBM BPM 系统日志做过类似的事情,并且不得不将 multiline.max_lines 增加到 1000,因为默认的 500 不足以摄取整个堆栈跟踪。