1. 首頁
  2. 問答
  3. 如何將日誌中的時間設置爲elasticsearch中的主@timestamp

如何將日誌中的時間設置爲elasticsearch中的主@timestamp

2015-03-03 17 views
1

使用logstash來索引彈性數據庫中的一些舊日誌文件。 我需要kibana/elastic來將日誌文件中的時間戳設置爲主@timestamp。如何將日誌中的時間設置爲elasticsearch中的主@timestamp

進出口使用以下列方式神交濾波器: %{TIMESTAMP_ISO8601:@timestamp} 還elasticsearch設置索引爲主要@timestamp和不寫入日誌行的時間戳的時間。

任何想法我在這裏做錯了什麼?

感謝

來源

2015-03-03 Eitan Vesely

回答

5

使用date filter設置@timestamp領域。將它所處格式的時間戳提取到單獨的(臨時)字段中,例如timestamp,並將其提供給日期過濾器。在你的情況下,你很可能會使用特殊的ISO8601時間戳格式令牌。

filter { 
    date { 
    match => ["timestamp", "ISO8601"] 
    remove_field => ["timestamp"] 
    } 
}

來源

2015-03-03 06:43:56

+0

Thanks @Magnus,我已經取得了一些進展,但時間戳仍然沒有正確解析。使用上面的「ISO8601」建議,沒有東西被索引,也沒有異常彈出。使用「TIMESTAMP_ISO8601」,我得到logstash上的錯誤。最後,使用「」YYYY-MM-DD HH:mm:ss「導致所有月份都是1月份(即 - 01)...我缺少什麼? – 2015-03-03 12:28:54

+0

好吧,明白了,用'dd'代替'DD'和它似乎工作正常。謝謝@Magnus – 2015-03-03 12:45:29

+0

就我而言,我還必須有一個「.SSS」的最後。[時間格式文檔](http://www.unicode.org/reports/tr35/tr35 -31/TR35-dates.html#Date_Format_Patterns) – CrazyPyro 2015-03-25 20:41:11

相關問題

 相關問題