logstash multiline

 filter {    multiline {     pattern => "^\s+%{TIMESTAMP_ISO8601}"  negate=>true    what=>"previous"   }  这个插件很简单,就是把当前行的数据添加到前面一行后面,直到新进的当前行匹配^\[正则为止这个过滤器 已经过时了 在 multiline-codec的支持,Multiline filter 不是线程安全的,这个过滤器会崩溃 多行消息从一个单独的source 到一个logstash event这个过滤器的目的是允许连接多行消息从文件到一个单独的事件。比如  连接java exception 和 stacktrace 消息到一个单独的事件配置文件如下:filter {  multiline {    type => "type"    pattern => "pattern, a regexp"    negate => boolean    what => "previous" or "next"  }}模式应该是一个正则表达式 匹配 你相信作为一个指标  多行日志的数据组成what  必须是previous 或者next 来表明关联到多行事件例子, Java stack traces 是多行和通常有消息 从左边开始,随后的行缩进 filter {  multiline {    type => "somefiletype"    pattern => "^\s"    what => "previous"  }}这个说明 任何行以空格开始属于之前的行