在Elasticsearch中未标识的@timestamp字段

Question

我通过rsyslog将一些旧日志推送到elasticsearch。

这是日志条目之一，

[START] --- [xx.xx.xx.xx] --- [25/Jun/2017:06:39:54 +0530] --- "Headers: [-, -, -, -, -, -]" --- "POST /infotrack HTTP/1.1" --- 200 --- 0.310 --- "-" --- "Java/1.8.0_121" --- "application/x-www-form-urlencoded" --- "-" --- [END]

日志成功地在elasticsearch内部并且在kibana中可见。

但是未标识@timestamp。 在kibana中添加索引期间，不会显示时间字段。

这里有什么问题 ？

我在其他索引中使用了相同的格式时间戳，并且在那没有造成任何问题。

Answer 1

您是否正在通过Logstash索引这些Nginx日志？ 请向我们显示Logstash过滤器配置或您为elasticsearch @timestamp字段指定的映射。

您很可能在Logstash conf或Elasticsearch映射中定义了错误的日期格式，提供的示例25/Jun/2017:06:39:54 +0530似乎不适合任何内置格式，因此您可能必须定义一个习惯一 。