使用自定義時間戳值更新logstash中的@timetamp字段
[英]Update @timetamp field in logstash with custom timestamp value
問題描述
我有以下logstash配置文件用於解析異常堆棧跟蹤。
堆棧跟蹤
2015-03-02 09:01:51,040 [com.test.MyClass] ERROR - execution resulted in Exception
com.test.core.MyException
<exception line1>
<exception line2>
2015-03-02 09:01:51,040 [com.test.MyClass] ERROR - Encountered Exception, terminating execution
配置文件:
input {
stdin {}
}
filter {
multiline {
pattern => "(^%{TIMESTAMP_ISO8601}) | (^.+Exception+) | (^.+Error+)"
negate => true
what => "previous"
}
}
output {
stdout { codec => rubydebug }
}
我能夠將堆棧跟蹤解析為單個logstash字段名稱消息 。 但是我希望用第一個異常行的時間戳更新@timestamp ,即2015-03-02 09:01:51,040
目前它已經為@timestamp采用默認時間戳
任何幫助將不勝感激。
1 個解決方案
解決方案1
3 已采納 2015-03-04 01:47:31
您需要使用GROK過濾器來提取時間值,然后使用DATE過濾器將值解析為@timestamp
例如:
input {
stdin {
codec => multiline {
pattern => "(^%{TIMESTAMP_ISO8601}) | (^.+Exception+) | (^.+Error+)"
negate => true
what => "previous"
}
}
}
filter {
grok {
match => ["message" , "%{TIMESTAMP_ISO8601:logtime} %{GREEDYDATA:msg}"]
}
date {
match => ["logtime", "YYYY-MM-dd HH:mm:ss,SSS"]
}
}
output {
stdout { codec => rubydebug }
}
此外,在輸入中使用多行而不是在過濾器中,過濾器中的多行將消息折疊為消息數組,而不是單個消息字符串。 因此,它將導致grok和日期過濾器失敗。
Logstash-> Elasticsearch:如果較新則更新文檔@timestamp,如果較舊則舍棄
[英]Logstash -> Elasticsearch : update document @timestamp if newer, discard if older
使用Logstash存儲在Elasticsearch中時是否需要@timestamp字段?
[英]Is the @timestamp field needed when using Logstash to store in Elasticsearch?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在logstash上添加新的時間戳字段?
從logstash中的時間戳中提取特定時間字段
基於logstash中已轉換的unix時間戳記的值的索引
如何解析logstash中的字段值?
Logstash-> Elasticsearch:如果較新則更新文檔@timestamp,如果較舊則舍棄
如何覆蓋logstash中來自json的時間戳字段
使用Logstash存儲在Elasticsearch中時是否需要@timestamp字段?
如何在logstash配置文件中將“日期”字段轉換為時間戳?
如何改變Logstash中字段的所有值
是否可以通過logstash中的先前值更改字段
相關標簽