Logstash неправильно интерпритирует входящие данные

Добрый день.
Я передаю логи mdaemon с помощью filebeat и использую "multiline.pattern" для объединения строк в одно событие. С помощью logstash я создаю поля "mail from", "mail to", "message id" и т.д.
И при написании grok'ов у меня появился вопрос. Можно ли в конфигурационном файле logstash, указывать перенос строки "\n"? Это бы облегчило для меня написание grok'ов, т.к. они были бы не такие "конкретные".

Отрывок json из kibana

"Tue 2021-09-14 02:33:15.396: 01: [26785584] REMOTE message: pd9001000177274.msg\nTue 2021-09-14 02:33:15.396: 01: [26785584] * Session 26785584; child 0002\nTue From: email@email.ru\n"

Если кто-нибудь знает другие способы, как можно облегчить написание grok'ов, прошу вас поделиться

Хочу добавить.
Можно ли сделать так, чтобы grok понимал конец строки "\n"?

Как пример, указываю ссылку: regex - How do I match a newline in grok/logstash? - Stack Overflow
В данном примере автор пытается объединить строки, а мне нужно, наоборот, их переносить, чтобы grok понимал где заканчивается строка "\n"?

Похоже на

Я пробовал использовать двойные кавычки вокруг шаблона, но это не помогло

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.