Grok шаблон для даты

У меня есть дата в моих журналах как:Grok шаблон для даты

08 июля 2016 г. 08: 58: 07258 ...

В настоящее время я использую:

%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})[T ]...

разобрать его.

Как я могу преобразовать это в тип даты. Я знаю, как использовать «дату» для этого, когда у нас есть существующий шаблон grok, но как это сделать в моем случае?

источник

2016-07-12 PuRaK

Вы можете иметь собственный шаблон:

(?<log_timestamp>%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND}[T ])

С этим, вы будете иметь поле log_timestamp вы можете дать в date фильтр.

Или вы можете использовать фильтр ruby, чтобы объединить все поля в одном, чтобы дать фильтр date.

источник

2016-07-12 12:15:05 baudsp

Будет принимать дату часть моего сообщения журнала в поле «Дата» с использованием GREEDYDATA, а затем использовать это поле «Дата» в фильтре «date», например 'match => [" Date "," dd MMM yyyy HH: mm : ss, SSS "]' работает? – PuRaK

@PuRaK Если содержимое поля «Дата» соответствует шаблону '' dd MMM yyyy HH: mm: ss, SSS ", оно будет работать независимо от метода, используемого для создания поля. – baudsp

ответ

Смежные вопросы