作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想将当前日期用作时间戳记(日期),因为此信息在我们的日志文件中不可用。
示例-> main_core.log:
04:00:19.675 [ActiveMQ Task-9] INFO a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345
最佳答案
您可以添加一个字段,其中包含日志中缺少的时间戳部分,然后与包含小时的变量连接,并将其用作@timestamp字段。
下面的过滤器执行以下操作:
filter {
grok {
break_on_match => false
match => ["message","%{TIME:hour} %{GREEDYDATA:msg}"]
tag_on_failure => [ "_grokparsefailure"]
add_field => { "time" => "%{+YYYY-MM-dd}"}
add_field => { "timestamp" => "%{time} %{hour}" }
}
date {
target => "@timestamp"
match => ["timestamp", "YYYY-MM-dd HH:mm:ss.SSS"]
}
}
hour
中,其余的将保存在字段名称
msg
中,但是您可以根据需要解析其余内容。
time
,例如
2018-07-12
。
timestamp
的字段,该字段为
time
和
hour
字段,这将导致
2018-07-12 4:00:19.675
date
过滤器用于将您生成的时间戳记用作elastic中的默认时间戳记字段
@timestamp
。
{
"@timestamp":"2018-07-12T04:00:19.675Z",
"message":"04:00:19.675 [ActiveMQ Task-9] INFO a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345",
"timestamp":"2018-07-12 04:00:19.675",
"msg":"[ActiveMQ Task-9] INFO a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345",
"time":"2018-07-12",
"@version":"1",
"hour":"04:00:19.675",
"host":"logstash-hostname"
}
关于elasticsearch - Logstash-使用当前日期作为时间戳记日期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51305455/
我希望在 vim 缓冲区中包含以下内容,最好独立于操作系统。 键入 today 将替换为 =20130716。 需要等号! 输入 tomorrow 将替换为 =20130717 键入 nextweek
我在尝试显示时间为DURATION的缩略图时遇到了困难。该代码呈现缩略图,但是没有任何时间。此外, View 的结果是O View 的结果。其他所有内容都可以正确获取。 entry as $e
我是一名优秀的程序员,十分优秀!