FilebeatMultiline: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 74: Строка 74:
 
become <B>"bac"</B> and <B>"bde"</B>
 
become <B>"bac"</B> and <B>"bde"</B>
   
=Случай 1=
+
=Случай 4=
 
true
 
true
   
Строка 80: Строка 80:
 
before
 
before
   
Consecutive lines that don’t match the pattern are prepended to the next line that does match.
+
Consecutive lines that don’t match the pattern are prepended to the next line that does match.<BR>
  +
Lines a c b d e b become "acb" and "deb"
 
  +
Lines
  +
<PRE>
  +
a c b d e b
  +
</PRE>
 
become <B>"acb"</B> and <B>"deb"</B>
   
 
=Тестовые данные=
 
=Тестовые данные=

Версия 15:34, 10 августа 2021

Filebeat multiline

С этой темой вечная проблема - разобрался, настроил и забыл. Через пол года нужно разбираться заново, и что б сэкономить время решил сделать заметку.
Скорее всего так же ведет себя и Logstash

Параметры

Параметры которые определяют поведение и их возможные значения:

  • multiline.negate
    • true
    • false
  • multiline.match
    • before
    • after

Случай 1

  • pattern = ^b
  • multiline.negate = false
  • multiline.match = after

Consecutive lines that match the pattern are appended to the previous line that doesn’t match.
Последующие строки соответвуют паттерну добавляются к предыдущей строке которая не соответвует Lines

a
b
b
c
b
b 

become "abb" and "cbb"

Случай 2

false

before

Consecutive lines that match the pattern are prepended to the next line that doesn’t match.

Lines

b
b
a
b
b
c

become "bba" and "bbc"

Случай 3

  • pattern = ^b
  • multiline.negate = true
  • multiline.match = after

Consecutive lines that don’t match the pattern are appended to the previous line that does match.
Последующие строки которые НЕ соответствуют паттерну присоединяются к предыдущей строке которая НЕ соответствует паттерну Lines

b
a
c
b
d
e

become "bac" and "bde"

Случай 4

true


before

Consecutive lines that don’t match the pattern are prepended to the next line that does match.

Lines

a c b d e b

become "acb" and "deb"

Тестовые данные

Ссылки