因此,我试图让filebeat将整个日志文件作为一个事件而不是将每一行作为事件发送,但是它不起作用,这是我的filebeat设置:
multiline.pattern: ^\[
multiline.negate: true
multiline.match: after
这是我拥有的日志文件的示例:
2020-02-03 16:03:25,038 INFO Initial blacklisted packages:
2020-02-03 16:03:25,039 INFO Initial whitelisted packages:
2020-02-03 16:03:25,039 INFO Starting unattended upgrades script
但是filebeat将每一行作为事件发送,我需要将整个事件作为一个事件发送,而不是单独发送。
任何关于我在这里做错什么的想法?
提前感谢您的帮助!
您可能实际上并不希望将整个日志作为一个事件(一条记录)发送,这没有多大意义。如果只想上传整个文件,请检查logstash file输入(不是filebeat)。它可以为您做到。