Logstash过滤非结构化日志

Question

我对Logstash很陌生，我会尽我最大的努力去控制它。我的问题是:我有一个日志，其结构如下：

时间数据-讯息

每10到15个日志条目都链接到一个具有ID的作业，但只有第一个输入被标记为ID。

现在，我想尝试在后面的每个条目中添加一个字段，以便识别与特定ID相关的所有条目。

这里有一个例子 29.09.15 16:17:00:191 -文本ID: 00000001文本 29.09.15 16:17:00:206 -案文 29.09.15 16:17:00:253 -文本 ..。 29.09.15 16:17:26:539 -文本ID: 00000002文本 29.09.15 16:17:30:233 -文本

我有点迷路了。我目前的方法是筛选标识ID，但是当我读取ID时，我不知道如何记住该ID并将其添加到以下入口.

Answer 1

我为时已晚，但如果没有错，你应该使用Logstash的多行过滤插件。

在那里，您可以用ID标记日志行，作为事件的开始。因此，每当logstash找到带有ID的行时，它就会将以下所有行作为一个完整事件保存起来，直到它再次找到另一个带有ID的日志行为止。

请阅读下面的文档：

https://www.elastic.co/guide/en/logstash/current/plugins-filters-multiline.html