logstash默认timestamp时间戳值修改为日志中提取的时间

x33g5p2x  于2022-06-13 转载在 Logstash  
字(0.5k)|赞(0)|评价(0)|浏览(818)

logstash中的timestamp时间戳时间由logtash在采集到日志时间时候自动设置,有些时候,需要把这个默认的timestamp时间修改为日志数据中提取到的时间,使两者一致。可以通过配置文件实现:

  1. filter {
  2. 	grok {
  3. 		match => [ 
  4. 			"message", "\[%{DATA:logtime}\] " 
  5. 		]
  6. 		
  7. 		break_on_match => false
  8. 	}
  10. 	date {
  11. 		match=> ["logtime","yyyy-MM-dd HH:mm:ss.SSS"]
  12. 		target=>"@timestamp"
  13. 	}
  14. }

上述配置的grok将匹配每一行日志中开始的[]里面的数据作为时间放入到logtime中,然后在date里面,将按照yyyy-MM-dd HH:mm:ss.SSS的日期时间格式把时间最终覆盖系统默认的timestamp中。

也可以通过ruby代码实现把自己提取到的日志时间作为系统默认的时间戳:

  1. filter {
  3. 	ruby {
  4. 		code => "
  5. 				event.set('@timestamp',event.get('this_is_my_log_time'))
  6. 				"
  7. 	}
  8. }

版权说明 : 本文为转载文章, 版权归原作者所有 版权申明

原文链接 : https://zhangphil.blog.csdn.net/article/details/125223184

内容来源于网络,如有侵权,请联系作者删除!

logstash

相关文章

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新文章

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com