logstash 使用filebeat的多标记器

kmpatx3s  于 5个月前  发布在  Logstash
关注(0)|答案(1)|浏览(61)

我有多个日志文件,我想解析message以获得正确的时间戳。这是一个问题,我有日志是在稍后的日期摄取的,因为服务计数命中在该日期周围是天文数字高。但是,由于文件的日志有正确的日期和时间,我打算使用它来纠正我的@timestamp
我试图找到dissect processor,并得到了以下代码片段:

processors:
  - dissect:
      tokenizer: '[%{text1}] [%{text2}] [%{text3}] [%{text4}] %{text5}'
      field: 'message'

字符串
1.由于我有多个日志,我不知道如何使用多个tokenizer来捕获日志的所有模式。示例:

[UUID] [timestamp] [loglevel] [text] msg
[timestamp] loglevel msg
loglevel [timestamp] msg
logstash

1条答案

按热度按时间
xiozqbni

xiozqbni1#

我可以想到一个黑客的方法:你可以将消息复制到多个字段,并使用不同的标记器为每个字段剖析处理器。
缺点/权衡将是:

  • 您将多次将原始日志复制到不同的字段,因此实际的事件大小将增加。
  • 您需要检查多个字段以查找已解析的标记
赞(0)分享  回复(0)举报  5个月前
我来回答

相关问题

    查看更多
    微信公众号

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com