FileBeats ### Multiline options

Lebedev · April 22, 2019, 8:37am

Коллеги, здравствуйте.
Помогите справиться с задачей.
Я настраиваю FileBeats в области ### Multiline options

На входе я имею следующий вид лога:

09:00:00.023|SMSG|48xx|ROUTING
или
09:00:00.024|DEBG|48xx|SWITCH begin

В рамках задачи мне требуется, чтобы ### Multiline options срабатывал, когда встречает входную строчку.

Я пробовал разные варианты, как например:
multiline.pattern: ^%{TIME}
multiline.pattern: ^[0-2][0-9]:[0-5][0-9]:[0-5][0-9].[0-9][0-9][0-9]

Но и в одном и во втором случае на выходе я имею один Event на весь файл, при условии того, что подобных входных строк, как минимум несколько сотен.

Подскажите, в что я делаю не так?

СпасибО!

Igor_Motov · April 22, 2019, 9:07am

A у вас установленыmultiline.negate: true и multiline.match: after?

Lebedev · April 22, 2019, 9:55am

Игорь, приветствую! Рад Вас слышать=)
Да, конечно:

multiline.negate: true
multiline.match: after

Lebedev · April 22, 2019, 12:37pm

Игорь, я еще раз удалил все индексы.
Изменил папку присутствия лога, перезагрузил LS и использовал ^[0-2][0-9]:[0-5][0-9]:[0-5][0-9].[0-9][0-9][0-9] всё заработало.

Подскажите, данный фильтр обязательно нужно прописывать в регулярном выражении или же все таки ^%{TIME} тоже, должно работать?

Igor_Motov · April 23, 2019, 12:37pm

На сколько я знаю, гроковские шаблоны не поддерживаются в filebeat-е и все что там есть это ascii character classes так что конструкции типа %{TIME} там использовать нельзя.

system · May 21, 2019, 12:38pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.