Filebeat之多行匹配模式理解记忆方式

最新推荐文章于 2024-04-29 17:44:26 发布
最新推荐文章于 2024-04-29 17:44:26 发布
阅读量2.6k 收藏 3
点赞数 3
分类专栏: ELK 文章标签: 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33622098/article/details/112648307
版权

1. 概述

官方文档关于多方匹配英文比较绕,这里翻译成中文,总结后便于记忆,点击此处查看官方原文

1.1 翻译及记忆方式

multiline.pattern: '^test #匹配以“test”开始的行
multiline.negate: true | false
multiline.match: after | before

  • negate false: 双重否定为肯定–匹配pattern;true:否定,不匹配pattern;
  • negate 中匹配与否作 主语,理解这点就好记忆了;
  • match 意为negate中在未匹配到的之前或者之后;或者未匹配到的在匹配到的之前或者之后

如下图所示:

negatematchResult
falseafter匹配到的(主语negate)在未匹配到的的后面
falsebefore匹配到的(negate)在未匹配到的前面
trueafter未匹配到的(negate)在匹配到的后面
truebefore未匹配到的在匹配到的前
1.2 案例

一般来说,Java日志报错不规则的行在规则的行下面,需要把下面的合并到最上面规则的一行上,match为after,如下面:

[beat-logstash-some-name-832-2015.11.28] IndexNotFoundException[no such index]
    at org.elasticsearch.cluster.metadata.IndexNameExpressionResolver$WildcardExpressionResolver.resolve(IndexNameExpressionResolver.java:566)
    at org.elasticsearch.cluster.metadata.IndexNameExpressionResolver.concreteIndices(IndexNameExpressionResolver.java:133)
    at org.elasticsearch.cluster.metadata.IndexNameExpressionResolver.concreteIndices(IndexNameExpressionResolver.java:77)
    at org.elasticsearch.action.admin.indices.delete.TransportDeleteIndexAction.checkBlock(TransportDeleteIndexAction.java:75)

针对上面的日志:

1.2.1 匹配行首规则的日志:

multiline.pattern: ‘^\[’
multiline.negate: true #未匹配到的在下面
multiline.match: after

1.2.2 匹配下面几行不规则的日志:

multiline.pattern: ‘^[[:space:]]’
multiline.negate: false #匹配到的在下面
multiline.match: after

风唤雀翎
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
17filebeat收集java程序多报错.md
10-29
17filebeat收集java程序多报错.md
filebeat-8.0.0
04-11
Filebeat 是使用 Golang 实现的轻量型日志采集器,也是 Elasticsearch stack 里面的一员。本质上是一个 agent ,可以安装在各个节点上,根据配置读取对应位置的日志,并上报到相应的地方去。 Filebeat 的可靠性很强,可以保证日志 At least once 的上报,同时也考虑了日志搜集中的各类问题,例如日志断点续读、文件名更改、日志 Truncated 等。 Filebeat 并不依赖于 ElasticSearch,可以单独存在。我们可以单独使用Filebeat日志的上报和搜集。filebeat 内置了常用的 Output 组件, 例如 kafka、ElasticSearch、redis 等,出于调试考虑,也可以输出到 console 和 file 。我们可以利用现有的 Output 组件,将日志进上报。 当然,我们也可以自定义 Output 组件,让 Filebeat 将日志转发到我们想要的地方。 filebeat 其实是 elastic/beats 的一员,除了 filebeat 外,还有 HeartBeat、PacketBea
图文详解:ElasticSearch实战,让你Filebeat快速入门和使用
2401_84025139的博客
03-31 952
有时候,我们想采集json文件并直接将json文件的数据按照格式写入到ES对应的索引库中,我们也可以通过filebeat去实现。1.在filebeat的目录下创建一个的yml文件。配置文件:type: logfields:paths:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
filebeat配置接收多信息
技术札记
01-07 1634
filebeat.yml multiline.pattern: ^\s+ # multiline.pattern: "^\[" # Defines if the pattern set under pattern should be negated or not. Default is false. multiline.negate: false # multiline.ne
Logstash——multiline 插件,匹配日志
热门推荐
我的地盘
09-22 2万+
Logstash——multiline 插件,匹配日志
Beats:使用 Filebeat 传送多日志
Elastic 中国社区官方博客
05-22 3063
在解决应用程序问题时,多日志为开发人员提供了宝贵的信息。 堆栈跟踪就是一个例子。 堆栈跟踪是引发异常时应用程序处于中间的一系列方法调用。 堆栈跟踪包括遇到错误的相关以及错误本身。 可以在此处查看Java堆栈跟踪的示例: Exception in thread "main" java.lang.NullPointerException at com.example.myproject.Book.getTitle(Book.java:16) at com.example.
EXCEL VBA 宏控制GPIB、VISA设备
11-17
本EXCEL 宏可以完成对仪器控制,读写的基本操作和基本类的编写。并以 对34970A的数据扫描并记录为例子进操作,以及TEK示波器的波形数据读写并以图片文件形式显示在EXCEL中---TEST 工程师最爱!!!。宏密码:123
GPIB_Code
混沌的博客
12-21 3698
Avoid unnecessary use of *RST. Putting Multiple Commands on the Same Line ; *OPC (operation complete) sets bit 0 in the standard event status register when all operations are complete. /*Set the a
filebeat踩坑
weixin_34310369的博客
04-01 738
使用filebeat5.0.1版本,用filebeat作为日志收集工具时:java日志格式需要多匹配,在filebeat配置文件中添加: ### Multiline options # Mutiline can be used for log messages spanning multiple lines. This is common # for Java Sta...
FileBeat系列:multiline的pattern negate match使用方法
NIO4444
05-16 7264
Java Stack Exception后面都是以空白开始的。 Exception in thread "main" java.lang.NullPointerException at com.example.myproject.Book.getTitle(Book.java:16) at com.example.myproject.Author.getBookTitles(Author.java:25) at com.example...
ELK日志分析系统之使用multiline合并多显示
邓邓子的博客
03-14 4202
目录一、前言二、multiline 的使用1.使用 logstash-codec-multiline 插件2.使用 logstash-filter-multiline 插件3.使用 Filebeat 一、前言 本博在 ELK日志分析系统之集成Filebeat 一文中,介绍了使用 Elasticsearch、Logstash、Kibana、Filebeat 来搭建 ELK 。但是搭建后发现输出的日志都是单的,一条日志占多的情况也是分开多显示,显得非常凌乱。为此,我们引入 multiline 来实现合并
filebeat合并配置文件.txt
01-03
filebeat日志合并配置文件
docker实战之制作filebeat镜像
03-11
docker实战之制作filebeat镜像
filebeat7.3.2
03-18
filebeat7.3.2
Java 正则表达式代码演示
特立独行的博客
04-29 423
Java正则表达式是一种强大的工具,用于在字符串中进模式匹配、搜索和替换操作。
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运时环境,它允许在浏览器外运JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Filebeat配置之加载Elasticsearch索引模板
06-10
好的,关于Filebeat的Elasticsearch索引模板配置,以下是具体步骤: 1. 首先,下载Elasticsearch的Filebeat索引模板,可以从官网下载或使用命令下载: ``` curl -L -O ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值