Quel modèle de groins pour logstash multiline avec différents diviseurs d'événements

Question

J'ai un fichier journal (zope/plone event.log) qui utilise une chaîne personnalisée (par exemple "-----") comme diviseur entre les événements, comment grok pattern pour l'analyse ce fichier journal à logstash devrait être?

Voici un exemple comment l'apparence du journal comme:

------ 
2014-07-21T12:13:30 INFO ZServer HTTP server started at Mon Jul 21 12:13:30 2014 
     Hostname: localhost 
     Port: 8401 
------ 
2014-07-21T12:13:44 WARNING SecurityInfo Conflicting security declarations for "setText" 
------ 
2014-07-21T12:13:44 WARNING SecurityInfo Class "ATTopic" had conflicting security declarations 
------ 
2014-07-21T12:13:47 INFO DocFinderTab Applied patch version 1.0.5. 

Answer 1

Vous devriez commencer par le codec ou filtre multiligne pour créer un événement unique pour le traitement.

EDIT:

Le doc donne cet exemple:

filter { 
    multiline { 
    pattern => "pattern, a regexp" 
    negate => boolean 
    what => "previous" or "next" 
    } 
} 

et décrit ce 'Négation' et 'quoi' faire. Espérons que le «motif» a du sens. Alors, qu'en est-il de "chaque ligne qui ne commence pas par une date appartient à la ligne précédente"? Cela pourrait être quelque chose comme ceci:

filter { 
    multiline { 
    negate => 'true' 
    pattern => "^%{TIMESTAMP_ISO8601} " 
    what => 'previous' 
    } 
} 

Vous resteriez avec le "----" à la fin de chaque ligne. Puisque vous ne les avez pas besoin comme délimiteurs, vous pouvez vous débarrasser d'eux (avant la strophe filtre multiligne):

if message =~ /^-+$/ { 
    drop{} 
}