2015-03-13 00:23:37.616
Я стараюсь использовать grok для форматирования следующего формата даты. Я пробовал:Форматирование Grok для пользовательской метки времени
SYSLOGTIMESTAMP, DATESTAMP_EVENTLOG, DATESTAMP_RFC2822
без успеха. Может ли кто-нибудь пролить свет?
Вы можете упомянуть отметку времени, которую вы указали в Logstash, с шаблоном TIMESTAMP_ISO8601.
filter {
grok {
match => ["message", "%{TIMESTAMP_ISO8601:timestamp_match}"]
}
}
Вы можете проверить это на Grok Debugger, введя 2015-03-13 00:23:37.616 и %{TIMESTAMP_ISO8601:timestamp_match}
Вы, вероятно, хотите, чтобы соответствовать в другое имя поля, но это основная идея.
Встроенные узоры можно найти в Logstash documentation или на GitHub.
Почему Grok Debugger дает мне всю эту дополнительную информацию? ' "ГОД": [ [ "2015" ] ], "MONTHNUM": [ [ "03" ] ], "MONTHDAY": [ [ "13" ] ] , "ЧАС": [ [ "00", нуль ] ], "МИНУТЫ": [ [ "00", нуль ] ], "SECOND": [ [ "38.582" ] ], ' – pcproff
Я реализовал это в своем файле фильтра, и я не получил дополнительных атрибутов, что важно. Спасибо, опрометчик. – pcproff
@pcproff Если вы выберете «Только имена», это должно исчезнуть (это поведение по умолчанию в grok, но не в отладчике). Этими другими совпадениями являются подшаблоны, составляющие 'TIMESTAMP_ISO8601'. Иногда удобно видеть их, когда вы исследуете, но в остальном они могут быть шумными. – rutter