rsyslog 入门 第六篇 关于多行 \n 问题

input 中设置了 startmsg.regex= 参数。那么rsyslog 将会把匹配规则的多行数据，以\n作为各行之间的间隔，发送出去。

下图是rsyslog的配置，被读取的文本内容，以及发送出去时通过tcpdump 抓包的包内容：

在logstash 接收到后，显示是这样的。下图：

logstash 配置只有配置个tcp接收端口跟stdout 终端回显

也就是说，logstash 写入es ， 通过kibana 展现出来，就是\n 这样的字眼给你看。
这不是我想要的，我希望kibana展现出来，也是要有换行的效果。

也就是说，logstash 输出的时候（上图），不是\\n 而是\n ，那就可以了。

========================================================

tcpdump -A -nn -i lo port 514 and tcp

------------------------
module(load="imfile")
input(
type="imfile"
File="/tmp/1.log"
startmsg.regex="^2017"
Severity="info"
Facility="user"
tag="nginx_access"
ruleset="nginx_forward"
)


template(name="nginx_access" type="string" string="%.replaced_msg %\n")
ruleset( name="nginx_forward" ){
set $.replaced_msg = replace($msg, "\\n", "\r\n");
action(type="omfwd" Target="192.168.20.223" Port="514" Protocol="tcp" template="nginx_access" )
stop
}