filebeat 多行日志的处理

配置文件位于/etc/filebeat/filebeat.yml，就是filebeat的主配置文件

打开文件，搜索multiline:，默认是注释的，常用的有如下三个配置：

multiline:
    pattern: '^[0-2][0-9]:[0-5][0-9]:[0-5][0-9]'
    negate: true
    match: after

上面配置的意思是：不以时间格式开头的行都合并到上一行的末尾（正则写的不好，忽略忽略）

pattern：正则表达式

negate：true 或 false；默认是false，匹配pattern的行合并到上一行；true，不匹配pattern的行合并到上一行

match：after 或 before，合并到上一行的末尾或开头

还有更多两个配置，默认也是注释的，没特殊要求可以不管它

max_lines: 500
timeout: 5s

max_lines：合并最大行，默认500

timeout：一次合并事件的超时时间，默认5s，防止合并消耗太多时间甚至卡死

over