我们在 Openshift Container Platform 4.3 版上实现了 EFK。
问题:Java Stack 跟踪、SQL 查询等多行日志在 Fluentd 中没有被解析为单个事件,因此我们在 Kibana 中获得了多个条目。我们需要将多行日志解析为单个事件,以便在 Kibana 中获取单个条目以用于异常或 SQL 查询。
简单:将应用程序日志记录格式切换为 json。
困难: https ://docs.fluentd.org/parser/multiline 。通常format_firstline并且format1就足够了 - 其他所有内容都会附加到下format_firstline一场比赛。