В настоящее время я пытаюсь читать файлы EVTX (события Windows) с помощью Filebeat.Пока это работает, но из моих почти 9.000 записей о событиях только пять не читаются.Проблема здесь в том, что первая строка не соответствует моему шаблону (что может быть из-за самого шаблона), а остальные четыре имеют пустые строки между ними.
Мои текущие строки выглядят так:
"Test message which represents the first line of
my current data
block
as shown here"; "Some value"; "More values"; "IDKFA"; "IDDQD"; "EndOfData"
Я использовал многострочный кодек из Filebeat следующим образом:
multiline.pattern: '^\".*EndOfData\"$'
multiline.negate: true
multiline.match: before
Каждая строка заканчивается «EndOfData» в конце блока данных.У меня проблема в том, что Filebeat создает абсолютно новую запись для каждой строки данных, которая не является пустой.Например:
Запись № 1:
"Test message which represents the first line of
Запись № 2:
my current data
block
Запись № 3:
as shown here"; "Some value"; "More values"; "IDKFA"; "IDDQD"; "EndOfData"
Это действительно не работает, и я не знаю почему.Единственное отличие от других записей заключается в том, что между строками нет пробелов.Если я попытаюсь «игнорировать» строки с помощью команды exclude_lines и регулярного выражения, такого как «^ $», это тоже не сработает.
У вас есть предложения?