FileBeats ### Multiline options

Коллеги, здравствуйте.
Помогите справиться с задачей.
Я настраиваю FileBeats в области ### Multiline options

На входе я имею следующий вид лога:

09:00:00.023|SMSG|48xx|ROUTING
или
09:00:00.024|DEBG|48xx|SWITCH begin

В рамках задачи мне требуется, чтобы ### Multiline options срабатывал, когда встречает входную строчку.

Я пробовал разные варианты, как например:
multiline.pattern: ^%{TIME}
multiline.pattern: ^[0-2][0-9]:[0-5][0-9]:[0-5][0-9].[0-9][0-9][0-9]

Но и в одном и во втором случае на выходе я имею один Event на весь файл, при условии того, что подобных входных строк, как минимум несколько сотен.

Подскажите, в что я делаю не так?

СпасибО!

A у вас установленыmultiline.negate: true и multiline.match: after?

Игорь, приветствую! Рад Вас слышать=)
Да, конечно:

multiline.negate: true
multiline.match: after

Игорь, я еще раз удалил все индексы.
Изменил папку присутствия лога, перезагрузил LS и использовал ^[0-2][0-9]:[0-5][0-9]:[0-5][0-9].[0-9][0-9][0-9] всё заработало.

Подскажите, данный фильтр обязательно нужно прописывать в регулярном выражении или же все таки ^%{TIME} тоже, должно работать?

На сколько я знаю, гроковские шаблоны не поддерживаются в filebeat-е и все что там есть это ascii character classes так что конструкции типа %{TIME} там использовать нельзя.

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.