Codec plugins ? multiline
- Codec plugins ? multiline
- multiline codec 会折叠多行消息,合并它们到一个事件
- 这个codec 原始的目的是允许 连接多行信息从文件到一个单独的事件。
- 比如, 连接Java 异常和stacktrace 消息到一个单独的事件
- 配置看起来像这样:
- input {
- stdin {
- codec => multiline {
- pattern => "pattern, a regexp"
- negate => "true" or "false"
- what => "previous" or "next"
- }
- }
- }
- input {
- file {
- type => "zj_api"
- path => ["/data01/applog_backup/zjzc_log/zj-api*catalina*"]
- codec => multiline {
- pattern => "^\s+%{TIMESTAMP_ISO8601}"
- negate => true
- what => "previous"
- }
- }
- file {
- type => "wj_api"
- path => ["/data01/applog_backup/winfae_log/wj-api*catalina*"]
- codec => multiline {
- pattern => "^\s+%{TIMESTAMP_ISO8601}"
- negate => true
- what => "previous"
- }
- }
- }
- pattern 应该匹配你相信的作为一个指示字段是一个多行事件的一部分
- what 必须是 previous or next 表明和多行事件的关系
- negate 可以是true 或者false(默认false) 如果是true, 一个消息不匹配模式 会组成一个多行过滤器的匹配
- 例如, Java stack traces 是多行匹配和通常有消息开始在左边,每个后续行是缩进的 像这样:
- input {
- stdin {
- codec => multiline {
- pattern => "^\s"
- what => "previous"
- }
- }
- }
- 这个意思是任何行以空格开头属于先前的行
- 另外一个例子是合并多行不是以日志开始的 合并到上一行
- input {
- file {
- path => "/var/log/someapp.log"
- codec => multiline {
- # Grok pattern names are valid! :)
- pattern => "^%{TIMESTAMP_ISO8601} "
- negate => true
- what => previous
- }
- }
- }
- 这个意思是任何行不以时间戳开头的都合并到上一行
- 一个常见的例子是C的续行(反斜杠),
- filter {
- multiline {
- type => "somefiletype"
- pattern => "\\$"
- what => "next"
- }
- }
- 这表示, 任何行以反斜杠借宿应该合并到下一行
- Synopsis 简介:
- 插件支持下面的配置选项:
- 需要的配置选项:
- multiline {
- pattern => ...
- what => ...
- }
Codec plugins ? multiline的更多相关文章
- ELK 学习笔记之 Logstash之codec配置
Logstash之codec: Logstash处理流程: input=>decode=>filter=>encode=>output 分类: Plain编码: input{ ...
- ELK 安装与配置
ELK日志分析之安装 1.介绍: NRT elasticsearch是一个近似实时的搜索平台,从索引文档到可搜索有些延迟,通常为1秒. 集群 集群就是一个或多个节点存储数据,其中一个节点为主节点,这个 ...
- Elastic 技术栈之 Logstash 基础
title: Elastic 技术栈之 Logstash 基础 date: 2017-12-26 categories: javatool tags: java javatool log elasti ...
- elk日志分析平台安装
ELK安装 前言 什么是ELK? 通俗来讲,ELK是由Elasticsearch.Logstash.Kibana 三个开源软件的组成的一个组合体,这三个软件当中,每个软件用于完成不同的功能,ELK 又 ...
- Logstash:Data转换,分析,提取,丰富及核心操作
Logstash:Data转换,分析,提取,丰富及核心操作 Logstash plugins Logstash是一个非常容易进行扩张的框架.它可以对各种的数据进行分析处理.这依赖于目前提供的超过200 ...
- ELK日志分析之安装
ELK日志分析之安装 1.介绍: NRT elasticsearch是一个近似实时的搜索平台,从索引文档到可搜索有些延迟,通常为1秒. 集群 集群就是一个或多个节点存储数据,其中一个节点为主节点,这个 ...
- 学习ELK日志平台(三)
ELK(elasticsearch.logstash.kibana) Elastic Stack是原ELK Stack在5.0版本加入Beats套件后的新称呼 解决痛点: 开发人员不能登录线上serv ...
- 日志分析工具ELK配置详解
日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...
- QT--以共享的方式发布应用,QT依赖库
Building Qt as a Shared Library 因为:QT基本上都是采用动态编译的(被安装的OS中的),(如安装包往往都是默认动态编译处理好的动态库),所以我们采用动态连接的方式进行发 ...
随机推荐
- C\C++代码优化的27个建议
1. 记住阿姆达尔定律: funccost是函数func运行时间百分比,funcspeedup是你优化函数的运行的系数. 所以,如果你优化了函数TriangleIntersect执行40%的运行时间, ...
- PHP 函数的“引用返回”概念释疑(转)
很多时候我们会看到这样的代码(出自 CI 框架源码): 1 $class =& load_class('a','b'); 我们都知道其中的'&'是指引用,但是它的作用是什么呢?它能够解 ...
- Android 高仿微信实时聊天 基于百度云推送
转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/38799363 ,本文出自:[张鸿洋的博客] 一直在仿微信界面,今天终于有幸利用百 ...
- Android中强大的Matrix操作
简介: Matrix翻译字面意思时矩阵,在Android的API中提供了两种Matrix,分别是android.graphics.Matrix 和 android.opengl.Matrix . 后者 ...
- ubuntu 安装 flash player
ubuntu 软件中心里的 flash , 虽说写的支持 chrome , 但安装总不管用 可运行以下两个命令, 再重启 chrome 浏览器 (注意,一定要把打开的浏览器全部关闭, 再打开才可以) ...
- 怎样找Android里自带的数据库?
首先先让它显示出来. 窗口window下的Show View 下的File Explorer(other里), 这时File Explorer窗口 就会显示出来,下一步我们找到data下的data,然 ...
- Python开发【第八篇】:网络编程
Python之路[第六篇]:socket Socket socket通常也称作"套接字",用于描述IP地址和端口,是一个通信链的句柄,应用程序通常通过"套接字&quo ...
- 新闻web小酌
首页如上 类图如下: 添加新闻的方法(dao): public boolean Add(News news) { boolean flag=false; Connection con =getConn ...
- 用CSS3实现带小三角形的div框(不用图片)
现在看到了很多带小三角形的方框,如微信.Mac版的QQ.QQ空间的时间轴等等,在聊天或者是发表的状态的内容外面都有一个带小三角形的矩形框包围着,感觉看着很不错,于是决定亲自动手写一个,我上次用的是偏移 ...
- 【转】深入理解Java:SimpleDateFormat安全的时间格式化
[转]深入理解Java:SimpleDateFormat安全的时间格式化 想必大家对SimpleDateFormat并不陌生.SimpleDateFormat 是 Java 中一个非常常用的类,该类用 ...