0
我有一個日誌文件,並希望根據時間戳(例如gt> 24th oct)將日誌索引到elasticsearch。我怎樣才能爲此配置logstash?由於ignore_older字段是用於多個文件,因此我無法使用它。如何基於logstash配置中的時間戳在elasticsearch中索引日誌?
A
回答
0
有幾種方法可以完成這樣的事情。最簡單的方法取決於你的日期如何表示。例如,如果你在文件中的日期是在YYYY-MM-DD格式,你可以做一個字符串比較是這樣的:
if ([timestamp] < '2015-01-01') {
drop {}
}
如果不是的話,最好的辦法是增加一個新的領域與@timestamp作爲一個字符串。請注意,它將在格林威治標準時間
mutate {
add_field => [ "mydate", "%{@timestamp}"]
}
if ([mydate] < '2015-01-01') {
drop {}
}
mutate {
remove_field => ["mydate"]
}
+0
是的這適用於格式YYYY-MM-dd,但我的日期格式是[Tue Nov 8 11:47:28 2016],所以如何處理字符串格式的日期和過濾日誌。 –
+0
使用日期過濾器解析日期,然後使用上面的@timestamp方法 – Alcanzar
相關問題
- 1. 基於logstash中已轉換的unix時間戳值的索引
- 2. ElasticSearch索引Unix時間戳
- 3. NodeJS Bunyan Logstash日誌索引
- 4. 使日誌相對於時間戳相對於時間戳而不是索引時間(系統時間)
- 5. 彈性搜索Logstash如何根據orcal時間戳來配置UTC時間
- 6. 如何配置logstash以創建elasticsearch索引?
- 7. 在日誌格式中獲取日期格式的時間戳,日期和時間字段在logstash中
- 8. 何時在JSON日誌中放置時間戳
- 9. 如何正確設置從iis日誌logstach中的時間戳
- 10. 日誌中時間戳的時區?
- 11. 使用NEST在索引上設置elasticsearch時間戳路徑?
- 12. 如何從logstash索引中刪除整個日誌?
- 13. 如何配置elasticsearch寫日誌
- 14. ElasticSearch在使用LogStash編制索引時分配自己的ID
- 15. 如何在基類中配置日誌,基於Log4J中的派生類?
- 16. 如何在logstash或kibana中同步日誌時間
- 17. 設置相當於我的日誌文件時間戳的Kibana時間戳
- 18. 如何在日誌文件中添加日期和時間戳?
- 19. Ant日誌中的時間戳?
- 20. 解析nginx日誌中的時間戳
- 21. 暴發戶日誌中的時間戳
- 22. 基於日誌文件時間戳的Scrapy動態文件名
- 23. 如何在Eclipse中設置時區(錯誤的CVS日誌時間戳)?
- 24. 如何在日誌中獲取適當的時間戳c?
- 25. 如何轉換Dropbox日誌時間戳?
- 26. 在expressjs v4中,我如何在日誌上添加時間戳?
- 27. 基於時間戳提取部分日誌文件
- 28. 如何將日誌中的時間設置爲elasticsearch中的主@timestamp
- 29. 配置logstash以訪問遠程日誌
- 30. Logstash輸入Cloudwatch日誌配置
你能解釋爲什麼ignore_older不適合你嗎?使用路徑和排除選項,您可以選擇正確的文件 – baudsp
是的,但我只有一個文件,所以想要針對日誌中的日期篩選特定文件上的日誌。 –