<img src="//i.stack.imgur.com/RUiNP.png" height="16" width="18" alt="" class="sponsor tag img">elasticsearch Filebeat多行模式_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Logstash_Filebeat

elasticsearch Filebeat多行模式

logstash

elasticsearch Filebeat多行模式,elasticsearch,logstash,filebeat,elasticsearch,Logstash,Filebeat,在图中，日志消息的堆栈跟踪采用新的日志行我想把它们放在一个日志里。怎么做？这是我的模式 multiline.pattern: '^[[:space:]]' multiline.negate: false multiline.match: after 从屏幕截图中提供的日志示例来看，似乎每个新事件都以日期开始，因此下面的多行模式应该可以工作 multiline.type: pattern multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-

在图中，日志消息的堆栈跟踪采用新的日志行我想把它们放在一个日志里。怎么做？这是我的模式

  multiline.pattern: '^[[:space:]]'
  multiline.negate: false
  multiline.match: after

从屏幕截图中提供的日志示例来看，似乎每个新事件都以日期开始，因此下面的多行模式应该可以工作

multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after

我以前也做过类似的事情来摄取IBM BPM系统日志，并且必须将

多行.max_lines

增加到

，因为默认的500不足以摄取整个堆栈跟踪