我有多个日志文件,我想解析message以获得正确的时间戳。这是一个问题,我有日志是在稍后的日期摄取的,因为服务计数命中在该日期周围是天文数字高。但是,由于文件的日志有正确的日期和时间,我打算使用它来纠正我的@timestamp。
我试图找到dissect processor,并得到了以下代码片段:
processors:
- dissect:
tokenizer: '[%{text1}] [%{text2}] [%{text3}] [%{text4}] %{text5}'
field: 'message'字符串
1.由于我有多个日志,我不知道如何使用多个tokenizer来捕获日志的所有模式。示例:
[UUID] [timestamp] [loglevel] [text] msg[timestamp] loglevel msgloglevel [timestamp] msg
1条答案
按热度按时间xiozqbni1#
我可以想到一个黑客的方法:你可以将消息复制到多个字段,并使用不同的标记器为每个字段剖析处理器。
缺点/权衡将是: