2.2.2 多行事件编码:

zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./plugin list | grep multi

Ignoring ffi-1.9.13 because its extensions are not built.  Try: gem pristine ffi --version 1.9.13

logstash-codec-multiline

logstash-filter-multiline

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat multi.comf

input {

  stdin {

  codec =>multiline {

  pattern =>"^\["

  negate=>true

  what=>"previous"

 }

}

}

output {

 stdout {

  codec=>rubydebug{}

   }

 }

/**********************

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/25/08 12:12:12] hello world

此时为了 敲回车没反应,因为\n并不匹配是设置的^\[ 正则表达式,logstash 还得等下一行数据直到匹配成功后才会输出这个事件

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/25/08 12:12:12] hello world

[Aug 9527]

{

    "@timestamp" => "2016-08-25T06:29:31.182Z",

       "message" => "[Aug/25/08 12:12:12] hello world",

      "@version" => "1",

          "host" => "0.0.0.0"

}

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f multi.comf

Settings: Default pipeline workers: 1

Pipeline main started

[Aug/08/08 14:54:03] hellow world

[Aug/08/09 14:54:04] hello logstash

{

    "@timestamp" => "2016-08-25T06:33:14.623Z",

       "message" => "[Aug/08/08 14:54:03] hellow world",

      "@version" => "1",

          "host" => "0.0.0.0"

}

hello best practice

hello raochelin

[Aug/09/10] the end

{

    "@timestamp" => "2016-08-25T06:34:01.344Z",

       "message" => "[Aug/08/09 14:54:04] hello logstash\nhello best practice\nhello raochelin",

      "@version" => "1",

          "tags" => [

        [0] "multiline"

    ],

          "host" => "0.0.0.0"

}

这个插件很简单,就是把当前行的数据添加到前面一行后面,直到新进的当前行匹配^\[正则为止。

logstash 处理多行的更多相关文章

  1. Logstash 的命令行入门 ( 附上相关实验步骤 )

    Logstash 的命令行入门 ( 附上相关实验步骤 ) 在之前的博客中,我们已经在 Macbook Big Sur 环境下安装了 ELK 的相关软件,并且已经可以成功运行对应的模块: 如果没有安装的 ...

  2. logstash处理多行日志-处理java堆栈日志

    logstash处理多行日志-处理java堆栈日志 一.背景 二.需求 三.实现思路 1.分析日志 2.实现,编写pipeline文件 四.注意事项 五.参考文档 一.背景 在我们的java程序中,经 ...

  3. logstash 中多行合并

    这里我之前是在input里面配置的多行合并,合并语法为: input { beats { type => beats port => 7001 codec => multiline ...

  4. logstash匹配多行日志

    在工作中,遇到一个问题就是日志的处理,首选的方案就是ELFK(filebeat+logstash+es+kibana) 因为之前使用过logstash采集日志的时候,非常的消耗系统的资源,所以这里我选 ...

  5. Logstash-安装logstash-filter-multiline插件(解决logstash匹配多行日志)

    ELK-logstash在搬运日志的时候会出现多行日志,普通的搬运会造成保存到ES中日志一条一条的保存,很丑,而且不方便读取,logstash-filter-multiline可以解决该问题. 接下来 ...

  6. Logstash filter 的使用

    原文地址:http://techlog.cn/article/list/10182917 概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还 ...

  7. ELK logstash 处理MySQL慢查询日志

    在生产环境下,logstash 经常会遇到处理多种格式的日志,不同的日志格式,解析方法不同.下面来说说logstash处理多行日志的例子,对MySQL慢查询日志进行分析,这个经常遇到过,网络上疑问也很 ...

  8. (转)如何在CentOS / RHEL 7上安装Elasticsearch,Logstash和Kibana(ELK)

    原文:https://www.howtoing.com/install-elasticsearch-logstash-and-kibana-elk-stack-on-centos-rhel-7 如果你 ...

  9. 【记录】logstash 的filter 使用

    概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本 ...

随机推荐

  1. WPF MultiBinding后台绑定动态属性 属性改变不调用Convert的问题

    一开始的写法: MultiBinding mb = new MultiBinding(); Binding b1 = new Binding(); b1.ElementName = "tex ...

  2. haproxy nginx 多路径

    nginx 多路径: location / { root /t/deploy/zjdev/deployedApps/zjzc-web-frontEnd/; index index.html index ...

  3. 2014第3周三JS进阶书籍

    本来想尝试每天回答或看已解决的3个问题来学习总结今天的知识点,看了下博文里面的问答,在问的和已解决的都提不起兴趣.就看了下知识库里面一些文章,把里面感觉好的段落再摘录一下,为自己再看时备忘. 第一阶段 ...

  4. LeeCode-Happy Number

    Write an algorithm to determine if a number is "happy". A happy number is a number defined ...

  5. mongodb debug

    1,MongoDb log use local; db.startup_log.find();

  6. javadoc 生成帮助文档时,注意以下几点

    参考:http://www.w3school.com.cn/tags/tag_pre.asp javadoc 生成帮助文档时,注意以下几点: 1.函数功能描述的结尾一定要有句号,英文句号或中文句号均可 ...

  7. Dice Notation(模拟)

    Dice Notation Time Limit:2000MS     Memory Limit:65536KB     64bit IO Format:%lld & %llu Submit  ...

  8. java File的getLastModified在不同操作系统以下存在差异

    java对文件读取改动时间(getLastModified())在不同的操作系统下存在差异  //1.在windows下,返回值是毫秒级别,不存在问题 //2.在Linux下,返回的值是毫秒值,可是会 ...

  9. Ubuntu 系统搭建php服务器 用ssh 远程操作

    一:在桌面下载xshell客户端连接 ,vmavar 上的 Ubuntu系统,遇到的问题跟大家分享一下,希望大家少走弯路 Ubuntu系统默认没有ssh server 要安装 apt-get inst ...

  10. 一个非常给力的播放器video-js

    video-js采用的是html5播放器. 在不支持html5的浏览器会自动切换成flash. video-js的官网http://www.videojs.com/ 看看下载的demo就知道个大概了. ...