日志中出现多行,该如何跟踪。
使用filebeat中的multiline配置,在日志跟踪的时候,直接
multiline.negate:
定义模式是否被否定。默认值是false。
multiline.match:
指定Filebeat如何将匹配行组合到事件中。设置是在后面或之前。
| negate |
match |
result |
| false |
after |
匹配模式的连续行被附加到不匹配的前一行。 |
| false |
before |
匹配模式的连续行被加到不匹配的下一行。 |
| true |
after |
不匹配模式的连续行被附加到匹配的前一行。 |
| true |
before |
不匹配模式的连续行被加到匹配的下一行。 |
multiline.flush_pattern:
指定正则表达式,其中当前多行将从内存中清除,结束多行消息。
multiline.max_lines:
可组合成一个事件的最大行数。如果多行消息包含的行数超过最大行数,则将丢弃任何其他行。默认值为500。
multiline.timeout:
在指定的超时之后,Filebeat发送多行事件,即使没有发现启动新事件的新模式。默认值是5s。
例:
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}' # 每行开始是日期的就是新的一行,反之,不是日期的就合并到前一行。 multiline.negate: false
multiline.match: after