elasticsearch - Filebeat多行模式

enter image description here
在日志消息的图片堆栈跟踪中，采用新的日志行
我希望他们在一个日志中。
怎么做？
这是我的模式

  multiline.pattern: '^[[:space:]]'
  multiline.negate: false
  multiline.match: after

最佳答案

从屏幕快照中提供的日志示例中，似乎每个新事件都从日期开始，因此如下所示的多行模式应该有效。

multiline.type: pattern
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after

以前，我已经做了类似的事情来提取IBM BPM System日志，并且不得不将multiline.max_lines增加到1000，因为缺省值500不足以提取整个堆栈跟踪。

关于elasticsearch - Filebeat多行模式，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/64254968/