filebeat 7.9.1版
elastisearch 7.9.1版
Kibanav7.9.1
在windows上运行。
我有一个pipeline.json文件,它描述了模块的摄取部分。
{
"description": "Pipeline for parsing aaa server logs.",
"processors": [
{
"grok": {
"field": "message",
"patterns": [
"^%{NUMBER:aaa.server.processid}%{SPACE}%{TIMESTAMP_ISO8601:aaa.server.timestamp}%{SPACE}%{LOGLEVEL:aaa.server.severity}%{SPACE}:%{SPACE}(?:\\[%{IPORHOST:aaa.server.shortcategory}\\])?%{SPACE}(?:\\[%{DATA:aaa.server.threadid}\\])?%{GREEDYDATA:aaa.server.message}"
]
},
"date": {
"field": "aaa.server.timestamp",
"formats": ["yyyy-MM-dd HH:mm:ss,SSS","ISO8601"],
"on_failure": [{"append": {"field": "date.error.message", "value": "{{ _ingest.on_failure_message }}"}}]
}
}
],
"on_failure": [{
"set": {
"field" : "error.message",
"value" : "{{ _ingest.on_failure_message }}"
}
}
]
}
当我启动filebeat时,它被传输到elastisearch/kibana,如果我单击“摄取节点管道”上的链接filebeat-7.9.1-aaa-server-pipeline,我会在屏幕的右侧看到正确的json。但当我在管道上按edit时,整个日期部分都消失了。对于日期部分,接收的数据处理不正确@时间戳没有像json中描述的那样更新。
手动添加一个日期处理器(如json文件中所述)修复了解析问题。
这只发生在我身上吗?
编辑:打字+添加手动步骤。
暂无答案!
目前还没有任何答案,快来回答吧!