Filebeat для отправки всего файла журнала

Question

Поэтому я пытаюсь, чтобы filebeat отправлял весь файл журнала как одно событие, а не каждую строку как событие, но это не работает, это моя настройка filebeat:

  multiline.pattern: ^\[
   multiline.negate: true
   multiline.match: after

, и это пример файла журнала, который у меня есть:

2020-02-03 16:03:25,038 INFO Initial blacklisted packages: 
2020-02-03 16:03:25,039 INFO Initial whitelisted packages: 
2020-02-03 16:03:25,039 INFO Starting unattended upgrades script

, но filebeat отправляет каждую строку как событие, мне нужно отправить все это как одно событие вместо отдельного.

Любое представление о том, что я здесь не так делаю?

Заранее спасибо за любую помощь!

Answer 1

Вы, вероятно, на самом деле не хотите отправлять весь журнал как одно событие (одну запись), это не имеет особого смысла. Если вы просто хотите загрузить весь файл, проверьте вход logsta sh file (не filebeat). Он может сделать это за вас.

И ваш multiline.pattern (который будет разбивать текст на события) может выглядеть как ^[0-9]{4}-[0-9]{2}-[0-9]{2}.