elasticsearch+filebeat+kibana提取多行日志

filebeat的配置文件filebeat.yml以下三行去掉注释,不同日志格式使用不通正则。

  #multiline.pattern: ^\[
  multiline.pattern: '^\[[0-9]{4}-[0-9]{2}-[0-9]{2}'
  #multiline.pattern: '^[[:space:]]'
  multiline.negate: true     //false改为true
  multiline.match: after

 

查看可以正常显示连续多行日志了