我使用 ELK 在 kibana 中显示我的中间件日志。为此,我使用了下面提到的多行模式,这些日志像单独的可扩展项一样单独显示。如何将这些日志显示为单个文件?作为单个可扩展项?因为最近几周我陷入了同样的问题。
我使用的模式:
multiline.pattern: '^\?'
multiline.negate: true
multiline.match: after
multiline.max_lines: 100000
日志:
04:02:22,878 DEBUG [org.jboss.modules] (main) Module org.jboss.dmr:main defined by local module loader @42f30e0a (finder: local module finder @24273305 (roots: xxxxxx))
04:02:22,885 DEBUG [org.jboss.modules] (main) Module org.jboss.as.core-security:main defined by local module loader @42f30e0a (finder: local module finder @24273305 (roots: xxxxx)
04:02:22,887 DEBUG [org.jboss.modules] (main) Module org.jboss.as.core-security-api:main defined by local module loader @42f30e0a (finder: local module finder @24273305 (roots: xxxxx))
04:02:22,894 DEBUG [org.jboss.modules] (main) Module org.jboss.as.domain-management:main defined by local module loader @42f30e0a (finder: local module finder @24273305 (roots: xxxxx))
答案1
multiline.pattern: '^\?'
multiline.negate: true
multiline.match: after
multiline.max_lines: 100000
上述模式将同步所有日志作为单个可扩展项。假设如果新添加任何内容,则它会创建为单独的可扩展项。这是 Kibana 的预期行为。