elasticsearch 如何将日志头信息捕获到自己的多行事件中?,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" /> elasticsearch 如何将日志头信息捕获到自己的多行事件中?,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何将日志头信息捕获到自己的多行事件中?

elasticsearch 如何将日志头信息捕获到自己的多行事件中?

logstash

elasticsearch 如何将日志头信息捕获到自己的多行事件中?,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok,我有一个日志,从记录它的软件的一些上下文信息开始。看起来是这样的: ******************** START EVENT ******************** Open Log File = 09/02/2020 20:51:03 Product = Bluebeam Revu x64 v2017.0.40 Build = 17.0.40.4 User Agent = B

我有一个日志,从记录它的软件的一些上下文信息开始。看起来是这样的:

******************** START EVENT ********************

Open Log File          = 09/02/2020 20:51:03
Product                = Bluebeam Revu x64  v2017.0.40
Build                  = 17.0.40.4
User Agent             = Bluebeam-Revu/17.0
Serial Number          = 1231232
Computer Name          = DSK-NY-123123
OS                     = Windows 10 Pro for Workstations 6.3.18363  - AMD64 App=64-bit
.NET                   = 4.0.30319.42000
Device Version          = 
Additional .NET        = 3.0.30729.4926 - 3.5.30729.4926
DPI                    = 96
-----------------------------------------------------
D     : 20:51:05 : Font Cache/Sync           Syncing font cache file
D     : 20:51:05 : Font Cache/Sync           Total number of font files: 441
...
在前11行左右的内容中有大量有用的信息,我想将这些信息捕获到单个事件中

之后我可以处理所有以
D
开头的行,这对于GROK来说非常容易

您知道如何实现这一点吗?

您必须在输入上使用多行编解码器,使用开始事件作为模式