Kibana 如何在elasticsearch中将日志中的时间设置为main @timestamp

1qczuiv0 于 2023-03-06 发布在 Kibana

关注(0)|答案(2)|浏览(299)

我正在使用logstash索引我的弹性数据库中的一些旧日志文件。我需要kibana/elastic将日志文件中的时间戳设置为main @timestamp。
Im使用grok过滤器的方式如下：%{TIMESTAMP_ISO8601：@timestamp}但elasticsearch将索引时间设置为main @timestamp，而不是日志行中写入的时间戳。
知道我做错了什么吗？
谢谢

kibana

来源：https://stackoverflow.com/questions/28825022/how-to-set-time-in-log-as-main-timestamp-in-elasticsearch

2条答案

按热度按时间

a5g8bdjr1#

使用date filter来设置@timestamp字段。将时间戳以任何格式提取到一个单独的（临时）字段中，例如timestamp，并将其提供给日期过滤器。在您的情况下，您很可能能够使用特殊的ISO8601时间戳格式令牌。

filter {
  date {
    match => ["timestamp", "ISO8601"]
    remove_field => ["timestamp"]
  }
}

赞(0）回复(0）举报 2023-03-06

djmepvbi2#

这对我很有效。

filter {
  
   grok {
     match => ["message", "%{TIMESTAMP_ISO8601:tstamp}"]
       }
  date {
    match => ["tstamp", "ISO8601"]
  }
}

赞(0）回复(0）举报 2023-03-06

我来回答

Kibana 如何在elasticsearch中将日志中的时间设置为main @timestamp

2条答案

相关问题

热门标签

最新问答