0

所以我试图让 filebeat 将整个日志文件作为一个事件而不是每一行作为一个事件发送,但它不起作用,这是我的 filebeat 设置:

  multiline.pattern: ^\[
   multiline.negate: true
   multiline.match: after

这是我拥有的日志文件的示例:

2020-02-03 16:03:25,038 INFO Initial blacklisted packages: 
2020-02-03 16:03:25,039 INFO Initial whitelisted packages: 
2020-02-03 16:03:25,039 INFO Starting unattended upgrades script

但是filebeat将每一行作为一个事件发送,我需要将整个事件作为一个事件而不是单独发送。

知道我在这里做错了什么吗?

提前感谢您的帮助!

4

1 回答 1

0

您可能实际上并不想将整个日志作为一个事件(一条记录)发送,这没有多大意义。如果您只想上传整个文件,请检查 logstashfile输入(不是 filebeat)。它可以为你做。

您的 multiline.pattern (将文本拆分为事件)可能类似于^[0-9]{4}-[0-9]{2}-[0-9]{2}.

于 2020-02-08T23:24:47.227 回答