Logstash使用日志记录时间替换@timestamp

Logstash在处理数据的时候,会自动生成一个字段@timestamp,默认该字段存储的是Logstash收到消息/事件(event)的时间。

date插件:日期过滤器用于从字段中解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
filter {
if [message] =~ "^\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}\s+\[[a-zA-Z0-9._-]+\]\s*\[\s*[a-zA-Z0-9._-]+\s*\][\s\S]*$" {
grok {
...
}
date {
match => ["logtime", "yyyy-MM-dd HH:mm:ss.SSS"]
#target => "messagetime"
#locale => "en"
#timezone => "+00:00"
remove_field => ["logtime"]
}
}
}
1
nohup bin/logstash -f config.conf >/dev/null &

Powered by AppBlog.CN     浙ICP备14037229号

Copyright © 2012 - 2020 APP开发技术博客 All Rights Reserved.

访客数 : | 访问量 :