Как заставить filebeat отправлять многострочные логи?

Question

[Rasty]

Добрый день!
Имеются логи следующего вида:

START ---
log data1
log data2
log data3
-- END

Конфигурация filebeat:

- type: log
enabled: true
paths:
- path_to_log
fields:
service: service name

multiline.type: pattern
multiline.pattern: '^START'
multiline.negate: false
multiline.match: after

filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: true

setup.template.settings:
index.number_of_shards: 3

output.logstash:
hosts: ["logstsh_ip:5044"]

processors:
- add_host_metadata: ~
- add_cloud_metadata: ~

В итоге filebeat отправляет в logstash каждую строку отдельно как одно событие.

Answer 1

[Isafu-]

Попробуйте данный код

multiline.type: pattern
multiline.pattern: '^[[:space:]]'
multiline.negate: false
multiline.match: after

Comments

[Rasty]

Спасибо, подошел следующий конфиг:

multiline.type: pattern
multiline.pattern: '^START \-\-\-'
multiline.negate: true
multiline.match: after
multiline.flush_pattern: '\-\-\- END'