怎么又是你

logstash处理多行日志的问题

Logstash | 作者 sailershen | 发布于2020年03月19日 | 阅读数:2234

日志如下:
一个是login_req的动作日志:
INFO - 2020-03-19 00:00:26 -->  start json  : Array
(
[action] => login_req
[data] => Array
(
[userID] => db59d7924385bd15aa72638380649acc
[ciphertext] => ZroY/sKYF95aBN+Q8CZrQq+zLxIl7EHoYDNY1XfMNLB2ZP8kVcenGH8B8Jjs1zXIZws9tv94AATISDlM+0V+z797OIm7zkOp41LyhLhWYAR4sqxccSc63wQq3eypn6anPkRnj4gJYk4U2R7oQUWlMK4zeLUveL2XExbYL4UkgaHFe7YPQMfMSoxeB+GUBvzTGPVTnAtYPnEdVwPb2UttVA==
[now_idrc] => 6485236436403759016
[suite_total] => 1
[suite_list] => Array
(
[0] => 6607
)
)
)

一个是idrcupdate_req动作的日志:
INFO - 2020-03-19 00:00:26 -->  start json  : Array
(
[action] => idrcupdate_req
[data] => Array
(
[userID] => 8c4a4b6d77fa804fbff4f4a0add3e752
[now_idrc] => 6485236436403759016
[ciphertext] => kGMG1ooTZjE0SZx9ZtgKT8I4X2qeQ8f9o8ydu6NEUNw=
)
)

除了这两个动作的日志,还夹杂了其它日志。
 
请教能否把类似这两段的日志过滤出来,把action关键字和userID关键字以及它们的值输出?
谢谢!
 
 
 
已邀请:

luohuanfeng

赞同来自:

filebeat可以 先合并再过滤.  logstash 没试过.

要回复问题请先登录注册