Parsing 日志存储筛选器拆分中断工作流_Parsing_Logstash

Parsing 日志存储筛选器拆分中断工作流

parsing logstash

Parsing 日志存储筛选器拆分中断工作流,parsing,logstash,Parsing,Logstash,拆分过滤器打破了我们的过滤链：在手册中我们发现拆分筛选器用于将多行邮件拆分为单独的邮件事件但我们不知道如何编写下一个链输入->过滤器拆分->过滤器组->输出只需尝试在同一个过滤器部分中使用split和grok，但它不起作用 filter { split { } grok { pattern => "%{NGINX}" } } split和grok上的输入、输出和单独使用都很好，但是当我们一起使用split和grok时，s

拆分过滤器打破了我们的过滤链：在手册中我们发现

拆分筛选器用于将多行邮件拆分为单独的邮件事件

但我们不知道如何编写下一个链

输入->过滤器拆分->过滤器组->输出

只需尝试在同一个过滤器部分中使用split和grok，但它不起作用

 filter {
    split {     }
    grok {
      pattern => "%{NGINX}"
      }
   }

split和grok上的输入、输出和单独使用都很好，但是当我们一起使用split和grok时，split之后grok不会被调用

请告知我们如何拆分大消息，然后通过grok解析它这是一个bug。看

另请参见指示使用

mutate

过滤器的第一条注释：

mutate {
    split => ["message", "\n"]
}

请提供日志示例。请发布日志存储配置文件。nginx访问或错误日志？