logstash 文档表明您可以使用多行编解码器将 Java 堆栈跟踪日志条目中的多个缩进行折叠成单个事件:
https://www.elastic.co/guide/en/logstash/current/plugins-codecs-multiline.html
input {
syslog {
type => syslog
port => 8514
codec => multiline {
pattern => "^\s"
what => "previous"
}
}
}
这是基于 logstash 在行首找到一个缩进并将其与上一行结合起来的。
但是,logstash 文档是我唯一可以找到参考的地方。一般用户社区似乎正在使用精心制作的 grok 过滤器来达到相同的效果。
我已经尝试过logstash提供的基本缩进模式,但它不起作用。有没有其他人通过匹配缩进模式来实现这个工作?