В многострочном фильтре была известная проблема, заключавшаяся в том, что он не печатал последнюю часть фильтруемого ввода, поскольку он все еще ожидает следования шаблону и не сбрасывается.
Проблема решена. Если да, то как? Есть ли тег, чтобы смыть последнюю часть?
Многострочный фильтр logstash: последняя часть сброса сообщения
Ответы (2)
Функция сброса должна быть в logstash 1.5 в соответствии с этой JIRA: https://logstash.jira.com/browse/LOGSTASH-1785, хотя «экспериментальная» функция версии 1.4.2 добавила enable_flush в многострочный фильтр. Я лично не проверял, решает ли это проблему сброса с последним событием.
person
Alcanzar
schedule
22.10.2014
В Logstash 5.1.1 есть опция auto_flush_interval.
Накопление нескольких строк будет преобразовано в событие, когда будет видна совпадающая новая строка или не было добавлено новых данных для этого времени auto_flush_interval. Нет по умолчанию. Если не установлено, нет auto_flush .
Источник: документы
Просто установите
codec => multiline {
pattern => "^%{DATESTAMP_OTHER}"
what => "previous"
negate => true
# set to time in secs when to flush
auto_flush_interval => 15
}
person
Atais
schedule
05.01.2017
