为什么Logstash多行不基于grok'd字段合并行？

为什么Logstash多行不基于grok'd字段合并行？

您是说如果该

calc

字段存在，第一行和第二行将合并为一个Envet？

如果是，以下答案可以为您提供帮助。您的多行模式不正确。请参考此配置：

input {    stdin{}}filter {    if [message] =~ "val"    {        grok { match => ["message", "val=%{WORD:calc}"]        }    }     multiline    {        pattern => "(val)"        what => "next"    }}output {    stdout {        prec => "rubydebug"    }}

多行中的模式是当

message

字段中有

val

单词时，您遇到该模式，它将与第二行多行合并。在您的例子中，你使用

[cal]

这方式时，

message

现场有

cal

字，但是，没有任何

cal

的

message

领域。