多行的 Grok 模式不起作用

Question

多行的 Grok 模式不起作用

up6*_*616 1 elasticsearch logstash logstash-grok elastic-stack

        第一| 2nd|3rd |4th |5th |6th |7th |8th |2012.07.12 05:31:04 |10th |ProductDir: C:\samplefiles\test\storage\4.0 (LF)
C:\samplefiles\test\storage\5.0 (LF)
样本目录：(LF)

注意：LF -> 换行被附加

我已经尝试过以下选项..似乎没有任何效果

match => [ "message", "(?m)....
(?<message>(.|\r|\n)*)
Greedydata 也无法工作，因为它不考虑新线。
mutate {gsub => ["message", "\n", "LINE_BREAK"] }

编解码器 => 多行 { 模式 => "^\s" 否定 => true 什么 => 上一个 }

Answer 1

Suf*_*ori 5

(?m)%{GREEDYDATA}将匹配任何多行日志，包括您的日志。请在这里测试一下

归档时间：	7 年，7 月前
查看次数：	4392 次
最近记录：	7 年，6 月前