你的正则表达式覆盖范围太窄，没能包含错误日志里的所有后续行（比如XML内容、完整的异常栈跟踪）。我们可以换个更可靠的思路：基于日志的起始模式来合并行——你的所有正常日志行都是以YYYY-MM-DD HH:MM:SS.sss格式的时间戳开头的，错误块里的后续行都不符合这个模式，刚好可以利用这一点来合并。

正确的Multiline配置 #

在filebeat.yml的inputs配置块中添加以下设置：

filebeat.inputs:
- type: log
  paths:
    - /path/to/your/target/logs/*.log  # 替换成你的实际日志路径
  multiline.type: pattern
  multiline.pattern: '^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\.\d{3}'
  multiline.negate: true
  multiline.match: after
  # 可选配置：防止超大日志块耗尽内存或无限等待
  multiline.max_lines: 1000
  multiline.timeout: 5s

配置细节解释 #

• pattern: 精准匹配日志行的起始时间戳格式，确保只有真正的新日志行才会被当作独立事件。
• negate: true: 告诉Filebeat，不匹配这个时间戳模式的行需要被合并到前一行。
• match: after: 将不匹配的行追加到前一行末尾，这样整个错误块（包括XML请求内容、异常描述、完整栈跟踪）会被合并成一个单一的日志事件。
• max_lines: 限制单个合并事件的最大行数，避免极端情况下超大日志块占用过多内存。
• timeout: 如果超过5秒没有新行加入，强制完成当前合并事件，防止无限等待。

原正则失效的原因 #

你之前使用的^\</|^[[:space:]]+\b|^Exception:只覆盖了三种场景：

1. 以</开头的XML结束标签行
2. 以空格开头的栈跟踪行
3. 以Exception:开头的行

但错误日志里的XML中间行（比如<channel>myEtisalatApp</channel>）、异常信息的主体行（com.etisalat.oms.exception.ApplicationException: No eligible product...）都不在匹配范围内，导致这些行被当作独立日志事件，无法完整捕获整个错误上下文。

验证配置有效性 #

可以用Filebeat自带的工具快速验证：

# 检查配置文件语法是否正确
filebeat test config -c filebeat.yml
# 测试日志输入的合并效果
filebeat test input -c filebeat.yml -i /path/to/your/test/logfile.log

内容的提问来源于stack exchange，提问作者Mustafa Amr