logstash日志换行处理小解

logstash主用于日志实时数据收集、解析，并将数据转发的工具，内置的功能也相当强大。但，同时意味着，他可能接收到各种情况的数据。

此处，我们主要讲解我实际使用中，碰到的一个小问题，换行(\n)。

logstash的换行处理，可以有多种方式，比如如imultiline,可以将多行合并之类的，这种适合input 直接读取文件。

但有时，你接收到的消息内容，即某个字段的内容，本身已经是换行的内容，经过input的转换后，加上了转义符，换行变成\\n。

这里举例我实际碰到的环境：kafka+logstash+elasticsearch

kafka采集到的数据，已经是一条完整的数据，如：

2023/08/10 09:15:26 main.go:20 E! 测试多行日志记录
第二行日志，需要合并
第三行也要合并

logstash.conf配置如下：

input {kafka {bootstrap_servers => "kafka.test.com"topics => ["test"]}
}filter {json {source => "message" #原mesage字段为json格式的字符串，转换成json数据}grok{match => ["message", "%{DATE:date} %{TIME:time} %{DATA:logclass}: %{DATA:loglevel}! %{GREEDYDATA:msg}"] }mutate {add_field => {"logdate" => "%{date} %{time}"} # 新增字段，多字段字符串组合成新字段logdateremove_field => ["date","time"]}
}output {elasticsearch {hosts => ["http://elasticsearch:9200"]index => "testlog"}
}

此时kibana上查看到的数据是在原本换行的地方变成\n。因为kafka在接到到换行的数据时会转成\n或\n\t。而logstash在接收到kafka的数据时，会当成字符串，自动加上转义符，要正常显示换行，需要把\\n 替换成\n。

 网上找了一堆相关资料，说的的方法是没错，但就是没有效果，如

filter {mutate {gsub => ["message","\\n",""] # 显式的采用此种方法替换
}

因为logstash会把“\\n”当成是有转义符处理，即\n，也即实际的换行。所以“\\n”其实替换的是实际的换行，实际已经可以换行的数据，替换成空字符。

如果要es中显示的\n，变成实际换行显示，需要以下配置：

filter {mutate {gsub => ["message","\\\\n","\n"] # 字符替换 ，将\\n 替换成 \n; "\\\\n"需要增加转义符。}

最终es显示效果如下：