2.2.2 多行事件编码:

zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./plugin list | grep multi

Ignoring ffi-1.9.13 because its extensions are not built.  Try: gem pristine ffi --version 1.9.13

logstash-codec-multiline

logstash-filter-multiline

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat multi.comf

input {

  stdin {

  codec =>multiline {

  pattern =>"^\["

  negate=>true

  what=>"previous"

 }

}

}

output {

 stdout {

  codec=>rubydebug{}

   }

 }

/**********************

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/25/08 12:12:12] hello world

此时为了 敲回车没反应,因为\n并不匹配是设置的^\[ 正则表达式,logstash 还得等下一行数据直到匹配成功后才会输出这个事件

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/25/08 12:12:12] hello world

[Aug 9527]

{

    "@timestamp" => "2016-08-25T06:29:31.182Z",

       "message" => "[Aug/25/08 12:12:12] hello world",

      "@version" => "1",

          "host" => "0.0.0.0"

}

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/08/08 14:54:03] hellow world

[Aug/08/09 14:54:04] hello logstash

{

    "@timestamp" => "2016-08-25T06:33:14.623Z",

       "message" => "[Aug/08/08 14:54:03] hellow world",

      "@version" => "1",

          "host" => "0.0.0.0"

}

hello best practice

hello raochelin

[Aug/09/10] the end

{

    "@timestamp" => "2016-08-25T06:34:01.344Z",

       "message" => "[Aug/08/09 14:54:04] hello logstash\nhello best practice\nhello raochelin",

      "@version" => "1",

          "tags" => [

        [0] "multiline"

    ],

          "host" => "0.0.0.0"

}

这个插件很简单,就是把当前行的数据添加到前面一行后面,直到新进的当前行匹配^\[正则为止。

logstash 处理多行的更多相关文章

  1. Logstash 的命令行入门 ( 附上相关实验步骤 )

    Logstash 的命令行入门 ( 附上相关实验步骤 ) 在之前的博客中,我们已经在 Macbook Big Sur 环境下安装了 ELK 的相关软件,并且已经可以成功运行对应的模块: 如果没有安装的 ...

  2. logstash处理多行日志-处理java堆栈日志

    logstash处理多行日志-处理java堆栈日志 一.背景 二.需求 三.实现思路 1.分析日志 2.实现,编写pipeline文件 四.注意事项 五.参考文档 一.背景 在我们的java程序中,经 ...

  3. logstash 中多行合并

    这里我之前是在input里面配置的多行合并,合并语法为: input { beats { type => beats port => 7001 codec => multiline ...

  4. logstash匹配多行日志

    在工作中,遇到一个问题就是日志的处理,首选的方案就是ELFK(filebeat+logstash+es+kibana) 因为之前使用过logstash采集日志的时候,非常的消耗系统的资源,所以这里我选 ...

  5. Logstash-安装logstash-filter-multiline插件(解决logstash匹配多行日志)

    ELK-logstash在搬运日志的时候会出现多行日志,普通的搬运会造成保存到ES中日志一条一条的保存,很丑,而且不方便读取,logstash-filter-multiline可以解决该问题. 接下来 ...

  6. Logstash filter 的使用

    原文地址:http://techlog.cn/article/list/10182917 概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还 ...

  7. ELK logstash 处理MySQL慢查询日志

    在生产环境下,logstash 经常会遇到处理多种格式的日志,不同的日志格式,解析方法不同.下面来说说logstash处理多行日志的例子,对MySQL慢查询日志进行分析,这个经常遇到过,网络上疑问也很 ...

  8. (转)如何在CentOS / RHEL 7上安装Elasticsearch,Logstash和Kibana(ELK)

    原文:https://www.howtoing.com/install-elasticsearch-logstash-and-kibana-elk-stack-on-centos-rhel-7 如果你 ...

  9. 【记录】logstash 的filter 使用

    概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本 ...

随机推荐

  1. android R 文件 丢失的处理 如何重新生成

    很多时候我们会遇到工程中的R.java文件丢失,必要急,修复很简单. 方法:右击你的工程(项目)——>Android Tools——>Fix Project Properties 即可. ...

  2. 理解JMS规范中消息的传输模式和消息持久化

    http://blog.csdn.net/aitangyong/article/category/2175061 http://blog.csdn.net/aitangyong/article/det ...

  3. poj 3164 Command Network

    http://poj.org/problem?id=3164 第一次做最小树形图,看着别人的博客写,还没弄懂具体的什么意思. #include <cstdio> #include < ...

  4. BZOJ 3572 世界树(虚树)

    http://www.lydsy.com/JudgeOnline/problem.php?id=3572 思路:建立虚树,然后可以发现,每条边不是同归属于一端,那就是切开,一半给上面,一半给下面. # ...

  5. ubuntu 硬件系统信息

    查看ubuntu硬件信息 1, 主板信息 .查看主板的序列号 -------------------------------------------------- #使用命令 dmidecode | ...

  6. Primes on Interval(二分 + 素数打表)

    Primes on Interval Time Limit:1000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u ...

  7. 《Qt编程的艺术》——5.1 手动布局

    在传统的GUI设计中,每个控件(Widget)都要手动地绑定在窗口之上的一个点上(也就是说,这个控件被指定成了给定GUI元素的父对象),同时还要指定这个控件的高度和宽度.作为所有图形元素的基础类,QW ...

  8. Flashback Version/Transaction Query

    1.应用Flashback Version Query查询记修改版本 SQL> select dbms_flashback.get_system_change_number from dual; ...

  9. NET基础课--配置文件2

     1. 使用<appSettings>        简单的配置信息,可以直接放入<appSettings>标记中.如: <?xml version="1.0& ...

  10. dojo.declare

    参考:http://www.ibm.com/developerworks/cn/web/1203_xiejj_dojodeclare/