LogStash concat Filebeat输入_Logstash_Logstash Grok_Filebeat

LogStash concat Filebeat输入

logstash

LogStash concat Filebeat输入,logstash,logstash-grok,filebeat,Logstash,Logstash Grok,Filebeat,我正在尝试将filebeat消息合并到LogStash中。我有下一个日志文件： ----------- SCAN SUMMARY ----------- Known viruses: 8520944 Engine version: 0.102.4 Scanned directories: 408 Scanned files: 1688 Infected files: 0 Total errors: 50 Data scanned: 8.93 MB Data read: 4.42 MB (rat

我正在尝试将filebeat消息合并到LogStash中。我有下一个日志文件：

----------- SCAN SUMMARY -----------
Known viruses: 8520944
Engine version: 0.102.4
Scanned directories: 408
Scanned files: 1688
Infected files: 0
Total errors: 50
Data scanned: 8.93 MB
Data read: 4.42 MB (ratio 2.02:1)
Time: 22.052 sec (0 m 22 s)

我从Filebeat上读到它，然后发送到LogStash

问题是我在日志中收到了不同消息中的每一行。我想合并所有内容，并从fileBeat输入中添加一个新字段“received_at”

我想要LogStash的下一个输出：

{
  Known_viruses: 8520944
  Engine_version: 0.102.4
  Scanned_directories: 408
  Scanned_files: 1688
  Infected_files: 0
  Total_errors: 50
  Data_scanned: 8.93MB
  Data_read: 4.42MB
  Time: 22.052sec (0 m 22 s)
  Received_at: <timeStamp taked from filebeat received JSON message>
}

可能吗？

可能的话，您需要在filebeat输入中查找多行消息：我想下面这样的事情可以做到：

multiline.type: pattern
multiline.pattern: '^----------- SCAN SUMMARY -----------'
multiline.negate: true
multiline.match: after

我已经添加了，但没有做任何事情。只是添加了应该适用于给定输入的配置。这是我的日志。但我读了filebeat的日志，并将其发送到LogStash。所以在LogStash中，我想我收到了一个JSON。你可以在我问题的结尾处核对一下。（更新）是否可以添加filebeat输入的配置？（在需要的地方屏蔽输出部分），事实上Logstash正在接收json，这是正常的！我接受你的答案，因为它与Filebeat一起工作。

multiline.type: pattern
multiline.pattern: '^----------- SCAN SUMMARY -----------'
multiline.negate: true
multiline.match: after