摘要:
filter { grok { match => [ "message" , "\s*%{IPORHOST:clientip}\s+\-\s+\-\s+\[%{HTTPDATE:time}\]\s+\"%{WORD:verb}\s+(?(\S+))\?... 阅读全文
摘要:
Codec plugins ? multilinemultiline codec 会折叠多行消息,合并它们到一个事件这个codec 原始的目的是允许 连接多行信息从文件到一个单独的事件。比如, 连接Java 异常和stacktrace 消息到一个单独的事件配置看起来像这样:input { st... 阅读全文
摘要:
# User@Host: zjzc_app[zjzc_app] @ [10.171.243.55] Id: 1621705# Query_time: 10.666552 Lock_time: 0.000392 Rows_sent: 15 Rows_examined: 24829551SE... 阅读全文
摘要:
input { file { type => "zj_api" path => ["/data01/applog_backup/zjzc_log/zj-api*catalina*"] code... 阅读全文
摘要:
binlog 日志格式:use `zjzc`/*!*/;SET TIMESTAMP=1476326343/*!*/;UPDATE `ProductAccess` pa SET pa.accessType =1 WHERE pa.productSn IN(SET TIMESTAMP=147632... 阅读全文
摘要:
用/s 来匹配任意字符 默认情况下,点号(.)无法匹配换行符,这对大多数单行匹配的情况是合适的。 . 圆点用于匹配除换行符外的任何单个字符 + 意味着一个或多个相同的字符 .+ 匹配任意单个字符至少一次 .* 所有任意数量字符。与前一字符结合,可不出现字符 ... 阅读全文
摘要:
在和 codec/multiline 搭配使用的时候,需要注意一个问题,grok 正则和普通正则一样,默认是不支持匹配回车换行的。就像你需要 =~ //m 一样也需要单独指定,具体写法是在表达式开始位置加 (?m) 标记。\s 空格,和 [\n\t\r\f] 语法一样 (\s*\S+\s*).... 阅读全文
摘要:
阅读全文
摘要:
filter { multiline { pattern => "^\s+%{TIMESTAMP_ISO8601}" negate=>true what=>"previous" } 这个插件很简单,就是把当前行的数据添加到前面一行后面,直到新进的当前行匹配^\[正则... 阅读全文
摘要:
8.2.1.15 ORDER BY Optimization ORDER BY 优化在一些情况下, MySQL 可以使用一个索引来满足一个ORDER BY 子句不需要做额外的排序index 可以用于即使ORDER BY 不精确的匹配index,只要所有未使用的索引的部分和所有额外的ORDER ... 阅读全文