当前位置: > 其它学习 > Elasticsearch >

ELK - filebeat - Multiline Configuration

时间:2020-01-10 18:19来源:linux.it.net.cn 作者:IT
日志中出现多行,该如何跟踪。
 
使用filebeat中的multiline配置,在日志跟踪的时候,直接
 
 
 
multiline.negate:
 
定义模式是否被否定。默认值是false。
 
multiline.match:
 
指定Filebeat如何将匹配行组合到事件中。设置是在后面或之前。
 
negate
 
match
 
result
 
false
 
after
 
匹配模式的连续行被附加到不匹配的前一行。
 
false
 
before
 
匹配模式的连续行被加到不匹配的下一行。
 
true
 
after
 
不匹配模式的连续行被附加到匹配的前一行。
 
true
 
before
 
不匹配模式的连续行被加到匹配的下一行。
 
 
 
multiline.flush_pattern:
 
指定正则表达式,其中当前多行将从内存中清除,结束多行消息。
 
multiline.max_lines:
 
可组合成一个事件的最大行数。如果多行消息包含的行数超过最大行数,则将丢弃任何其他行。默认值为500。
 
multiline.timeout:
 
在指定的超时之后,Filebeat发送多行事件,即使没有发现启动新事件的新模式。默认值是5s。
 
 
 
 
 
例:
 
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}' # 每行开始是日期的就是新的一行,反之,不是日期的就合并到前一行。 multiline.negate: false
 
multiline.match: after
 
(责任编辑:IT)
------分隔线----------------------------