多行筛选器中存在一个已知问题,即它不会打印要筛选的输入的最后一部分,因为它仍在等待一个模式,并且它没有被清除
问题解决了吗。如果是,怎么办?有标签可以把最后一部分冲洗掉吗?
根据这个JIRA,刷新功能应该在logstash 1.5中:https://logstash.jira.com/browse/LOGSTASH-1785尽管1.4.2的"实验性"特征将CCD_ 1添加到多行滤波器。我还没有亲自测试,看看这是否解决了上一次事件的刷新问题。
Logstash 5.1.1有auto_flush_interval选项。
当看到匹配的新行或此时没有附加新数据auto_flush_interval时,多行的累积将转换为事件。没有默认值。如果未设置,则没有auto_flush。
来源:文档
简单设置
codec => multiline {
pattern => "^%{DATESTAMP_OTHER}"
what => "previous"
negate => true
# set to time in secs when to flush
auto_flush_interval => 15
}