splunk-otel-collector 的多行配置存在问题。我测试了我们的正则表达式以使用 regex101 查找堆栈跟踪,并且它在那里工作得很好。然而,我们的日志仍然被分割成多个日志。我可以想到我们为命名空间、pod 和容器设置的通配符存在问题。有人知道我可以研究什么来解决这个问题吗?
目标:不要拆分以前导空格开头或“由”开头的日志
multilineConfigs:
- namespaceName:
value: .*
podName:
value: .*
useRegexp: true
containerName:
value: .*
firstEntryRegex: ^(?:\s|Caused by)
尝试在“firstEntryReg”设置之后添加“combineWith”设置。
multilineConfigs:
- namespaceName:
value: .*
podName:
value: .*
useRegexp: true
containerName:
value: .*
firstEntryRegex: ^(?:\s|Caused by)
combineWith: ""
我认为这样做是匹配第一行条目,然后组合每个字符,直到看到下一个“firstEntryRegex”匹配而不使用分隔符。 例如,如果您使用组合:“”,那么当它看到制表符时,它会重新组合行。