ELK根据字段拆分合并
input {
beats {
port => 5044
}
}
filter {
multiline {
#pattern => "^\d{4}-\d{2}-\d{2}" # 正则表达式模式,匹配时间戳开头的行
pattern =>"^Application_Stdout" # 匹配以 "Application_Stdout" 开头的行
negate => true # 反转匹配结果,匹配非时间戳开头的行
what => "previous" # 将匹配的行与前一行合并
}
if "assistant" in [fields][project] {
mutate {
add_field => { "index_prefix" => "assistant" }
}
}
else if "qfzs-shop" in [fields][project] {
mutate {
add_field => { "index_prefix" => "qfzs-shop" }
}
}
else if "qfzs-table" in [fields][project] {
mutate {
add_field => { "index_prefix" => "qfzs-table" }
}
}
else if "qfzs-user" in [fields][project] {
mutate {
add_field => { "index_prefix" => "qfzs-user" }
}
}
else if "test-management" in [fields][project] {
mutate {
add_field => { "index_prefix" => "test-management" }
}
}
else if "test-server" in [fields][project] {
mutate {
add_field => { "index_prefix" => "test-server" }
}
}
grok {
match => { "message" => "Application_Stdout %{GREEDYDATA:application_stdout}" }
}
}
output {
# 配置输出到 Elasticsearch 或其他目标的部分
# ...
}
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了