Logging 如何在带有logstash的日志中显示最新条目？

我正在解析应用程序日志。一个日志条目有多行，所以我使用多行工具，定义一个日志条目，从时间戳模式匹配的那一刻起，直到另一个时间戳匹配为止。这样做的问题是，将永远不会发送最新条目（添加新条目时会发送，但随后它将不是最新条目）。以下是我的配置：

codec => multiline {

 pattern => '^20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})'
            negate => true
            what => 'previous'
 }

---

您对如何改进这一点有什么建议吗？

多行过滤器有一个似乎适用的max_age参数。您能详细说明它是如何适用的吗？我使用的是multline编解码器，根据，它没有max_age参数。我阅读你原始帖子的方式是最后一条消息正在等待发送。暂停会有帮助，对吗？过滤器有超时（编解码器没有超时）。因此，我建议您尝试使用过滤器。或否；你的选择。好的，我明白你的意思，我会试试，然后带着结果回来谢谢你，我有时间测试它，它成功了…它有一个限制，你只能使用一个辅助线程