Пересекающиеся строки Multiline в разных событиях?
Приветствую, господа!
Может кто сталкивался. В логе есть блоки событий, которые начинаются и заканчиваются ключевой фразой. Грубо говоря "вход" - "события" - "выход". Multiline прекрасно все сшивает в один event, grok выцепляет нужные данные. Однако случается такое, что "выход" не успевает произойти прежде, чем начинает новый "вход". Получается "вход1" - "вход2" - "события1 и события2 в перемешку" - "выход1" - "выход2". Можно ли как-то исхитриться и сшивать события не по фразе "вход", а начиная со входа и заканчивая выходом? При этом получается два ивента должны иметь пересекающиеся строки.
Версии LS и ES 5.0, транспорт filebeat 5.0.1
Буду очень признателен за подсказки!
Средний
