论坛 › ELK › 求助一个关于日志合并的问题

zjhzgl 发表于 2018-6-29 10:20:35

求助一个关于日志合并的问题

本人小白，用filebeat在windows里抓取了一些日志到logstash,再输出到ES，因为日志本身的原因，一条日志被分割成了好多条，如图。



网上查了一条关于日志合并的，感觉很迷茫。请教各位大神，怎样把这多条日志根据生成时间合并成一条。多谢！

768013268zxc 发表于 2018-6-29 12:51:18

666666666

cheng029 发表于 2018-6-29 14:15:27

你这是源数据就分段了吧？

iyunv.com.cn 发表于 2018-7-3 08:22:09

555

mackspc 发表于 2018-8-3 13:58:50

filter {
         multiline {
      #匹配以正则内容开始的内容，匹配不上则按以下方法执行
      pattern => "^%{TIMESTAMP_ISO8601}"
      #设置true是向前匹配,设置false向后匹配,默认是FALSE
      negate => true
      #未匹配的内容是向前合并还是先后合并,previous,next两个值选择
      what => "previous"
      }
}

mackspc 发表于 2018-8-3 14:20:09

使用multiline插件进行过滤
filter {
    multiline {
      #匹配以正则内容开始的内容，匹配不上则按以下方法执行
      pattern => "^%{TIMESTAMP_ISO8601}"
      #设置true是向前匹配,设置false向后匹配,默认是FALSE
      negate => true
      #未匹配的内容是向前合并还是先后合并,previous,next两个值选择
      what => "previous"
      }
}

查看完整版本: 求助一个关于日志合并的问题