代码之家 › 专栏 › 技术社区 › funk

logstash:提供整个文件并使用换行符拆分来创建新事件

logstash-configuration logstash-grok logstash apache-kafka

funk · 技术社区 · 6 年前

我有以下logstash配置,用于从kafka读取类似系统日志的消息:

input {
    kafka {
        bootstrap_servers => "172.24.0.3:9092"
        topics => ["test"]
    }
}
filter {
    grok {
        match => { "message" => "%{SYSLOGTIMESTAMP}" }
    }
}
output {
    stdout { codec => rubydebug }
}

因此,当在logstash输入处发送syslog行时,在stdout处生成以下消息:

来自卡夫卡

r = p1.send('test', b'Jul 16 09:07:47 ubuntu user: test500')

标准输出

{
       "message" => "Jul 16 09:07:47 ubuntu user: test500",
      "@version" => "1",
    "@timestamp" => 2018-07-16T12:29:57.854Z,
          "host" => "6d87dde4c74e"
}

现在,我想添加多行 \n 每行末尾的字符和logstash将输入处理为两条分开的消息,以便logstash stdout类似于以下示例:

同一条消息中来自卡夫卡的多行

r = p1.send('test', b'Jul 16 09:07:47 ubuntu user: test501\nJul 16 09:07:47 ubuntu user: test502')

所需标准输出

{
       "message" => "Jul 16 09:07:47 ubuntu user: test501",
      "@version" => "1",
    "@timestamp" => 2018-07-16T12:29:57.854Z,
          "host" => "6d87dde4c74e"
}
{
       "message" => "Jul 16 09:07:47 ubuntu user: test502",
      "@version" => "1",
    "@timestamp" => 2018-07-16T12:29:57.854Z,
          "host" => "6d87dde4c74e"
}

有没有什么想法,如何在原木上实现这种行为?

1 回复 | 直到 6 年前

funk 6 年前

input {
    kafka {
        bootstrap_servers => "172.24.0.3:9092"
        topics => ["test"]
        ## ## ## ## ## 
        codec => line
        ## ## ## ## ##
    }
    stdin {}
}

推荐文章

user8981307 · logstash平原错误。日志无法创建管道

6 年前

KARAN SHAH · 使用Logstash解析XML文件

6 年前

Shivanshu Bagga · 在logstash中加密/保护Elasticsearch的密码。conf文件

7 年前

Jo frey · Azure上的ElasticSearch-如何记录和安装插件?

7 年前

TheHorizon · ELK:设置logstash ELK堆栈的多个http输入

7 年前

Olivier · Logstash:TZInfo::解析JDBC列Logstash时出现歧义异常

7 年前

loki · 如何使用logstash制作索引json文件?

7 年前

kitz · 在logstash筛选器条件中使用ruby变量

7 年前

Mehmet KILIÇ · 我无法读取Logstash中的拆分字段

7 年前

rohansingh · 如何在Logstash配置文件中包含过滤器?

8 年前