0
A
回答
0
這不是一個容易解決的問題。有兩個日期是Logstash可以利用:
- 該事件被攝入
- 事件本身的編碼時間的確切時間。
這裏最好的辦法是將攝取時間存儲到一個字段;對於連續讀取的日誌文件,同一秒內的事件將在稍微不同的時間被攝取,因此按攝取時間排序會重新排列日誌。您的過濾器流可以是這個樣子:
filter {
mutate {
add_field => { "ingest_timestamp" => "%{@timestamp}" }
}
grok { some things }
date {
match = [ "SYSLOGTIMESTAMP", ISO8601 ]
}
}
在這種情況下,@timestamp將被設置爲在事件中編碼的時間,ingest_timestamp將被設置爲攝取的時間戳。先訂購@timestamp,然後訂購ingest_timestamp,然後您將按照事件到達日誌文件的順序重新排序。
相關問題
- 1. Logstash:使用偏移量DOCUMENT_ID
- 2. 如何獲得__TIME__的UTC偏移量?
- 3. 如何獲得內存偏移量?
- 4. iPhone - 如何獲得時區偏移量?
- 5. 如何在RecyclerView中獲得偏移量ItemDecorator
- 6. 如何在Rails中獲得utc偏移量?
- 7. 如何在iframe中獲得字符偏移量?
- 8. 如何在Rails 2.3中獲得正確的時區偏移量?
- 9. 如何獲得Flash中文件的偏移量
- 10. 如何獲得wp7中scrollview的最大偏移量?
- 11. 如何獲得RadDataBoundListBox中的滾動偏移量?
- 12. 如何獲得MySQL中特定行的偏移量?
- 13. 如何獲得Javascript中整個div的範圍偏移量?
- 14. 如何通過Javascript在句子中獲得選定的字符串偏移量開始和偏移量結尾
- 15. 如何獲得時區偏移值
- 16. 如何獲得kafka的最新偏移
- 17. 如何獲得時區偏移爲±hh:mm?
- 18. 如果已知偏移量,如何獲得結構的成員?
- 19. 如何獲取壁紙偏移量?
- 20. 如何獲得枚舉成員的字節偏移量?
- 21. 如何獲得一個元素的正確偏移量? - jQuery
- 22. 如何獲得autocrops偏移量和大小?
- 23. java:如何獲得時區縮寫(從偏移量)?
- 24. Joomla 3.1:如何獲得時區偏移量?
- 25. Java 8 ZoneOffset - 如何獲得當前系統的UTC偏移量
- 26. Qt:如何獲得設備的GMT偏移量?
- 27. 如何獲得具有別名的列的MySQL偏移量?
- 28. 如何獲得當前的ScrollView的Y偏移量
- 29. 如何獲得相對於特定父級的偏移量?
- 30. Turbo Pascal for DOS - 如何獲得當前時區偏移量