[英]How to add new timestamp field on logstash?
我正在解析以前已在本地主機中加載的日志,並且我想獲取每一行中的事件日期字段作為時間戳,但kibana僅可以將其作為字符串獲取。
示例:我有這個活動
2016/09/27 13:33:49.701 GMT(09/27 15:33:49 +0200) INFO BILLINGGW ConvergysDelegate.getCustomer(): Calling getCustomerFromCache: 0001:606523
它於2016年9月27日16:04:53.222加載 ,但logdate字段(事件日期)為: 2016/09/27 13:33:49.701 。
在logstash過濾器上,我定義了:
(?<logdate>%{NUMBER:year}/%{NUMBER:month}/%{NUMBER:day} %{HOUR:hday}:%{MINUTE:min}:%{SECOND:sec}) %{GREEDYDATA:result}
我還證明了:
(?<logdate>%{YEAR:year}/%{MONTHNUM:month}/%{MONTHDAY:day} %{HOUR:hday}:%{MINUTE:min}:%{SECOND:sec}) %{GREEDYDATA:result}
kibana讀取logdate就像字符串一樣。 我如何獲得kibana可以將其讀取為時間戳的信息?
我只用日期證明:
(?<logdate>%{NUMBER:year}/%{NUMBER:month}/%{NUMBER:day})
和Kibana像時間戳一樣正確地解釋了它,但是問題是如何正確地將小時,分鍾和秒添加到logdate字段中。
有人可以幫我嗎?
最好的祝福。
您必須使用日期過濾器將字符串從時間戳轉換為時間戳。
date {
match => [ "logdate", "yyyy/MM/dd HH:mm:ss"]
}
這將嘗試使用此日期模式yyyy/MM/dd HH:mm:ss解析logdate字段,如果成功,將用結果替換@timestamp字段。 您可以使用target選項為解析日期指定另一個字段。
取出字段的第一行並將其添加為Logstash 1.4.0中的新字段
[英]Take out the first line of a field and add it as a new field in Logstash 1.4.0
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.