使用 filebeat 的多个标记器

问题描述 投票:0回答:1

我有多个日志文件,我想解析 

message
以获取正确的时间戳。这是问题, 我有一些稍后被摄取的日志,因为该日期前后的服务计数点击量是天文数字。但是,由于文件的日志具有正确的日期和时间,我计划使用它来纠正我的 
@timestamp

我试图找到解剖处理器并想出了以下代码片段:

processors:
  - dissect:
      tokenizer: '[%{text1}] [%{text2}] [%{text3}] [%{text4}] %{text5}'
      field: 'message'
  1. 因为我有多个日志,所以我不确定如何使用多个标记器来捕获日志的所有模式。 例子:
[UUID] [timestamp] [loglevel] [text] msg

[timestamp] loglevel msg

loglevel [timestamp] msg
elasticsearch logstash filebeat
1个回答
0
投票

我可以想到一种巧妙的方法:您可以将消息复制到多个字段,并使用不同的标记器对每个字段进行解析处理器。

缺点/权衡是:

  • 您将多次将原始日志复制到不同的字段,因此实际事件大小会增加。
  • 您需要检查多个字段来查找已解析的令牌
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.