elasticsearch 通过Logstash覆盖@timestamp';具有grok提取值的s日期过滤器,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk" /> elasticsearch 通过Logstash覆盖@timestamp';具有grok提取值的s日期过滤器,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 通过Logstash覆盖@timestamp';具有grok提取值的s日期过滤器

elasticsearch 通过Logstash覆盖@timestamp';具有grok提取值的s日期过滤器

logstash

elasticsearch 通过Logstash覆盖@timestamp';具有grok提取值的s日期过滤器,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk,我正在尝试将字符串值变异为logstash中的日期时间。虽然格式正确,但在kibana/elastic搜索中,字段显示的是字符串,而不是日期 作为分析的一部分,我试图以多种方式改变日期,但都不起作用。我尝试了几毫秒半天的过滤器,因为日志的日期格式是AM/PM 格罗克 基巴纳的产出 message "Error","Jun 14, 2019 02:47:33 pm","xxxxxxxxxx",0,0,"stage_1","HomePage: Sign in link is not visible!

我正在尝试将字符串值变异为logstash中的日期时间。虽然格式正确,但在kibana/elastic搜索中,字段显示的是字符串,而不是日期

作为分析的一部分,我试图以多种方式改变日期,但都不起作用。我尝试了几毫秒半天的过滤器,因为日志的日期格式是AM/PM

格罗克

基巴纳的产出

message "Error","Jun 14, 2019 02:47:33 pm","xxxxxxxxxx",0,0,"stage_1","HomePage: Sign in link is not visible!"

monitortime Jun 14, 2019 02:47:33 pm

monitortime  string


Timestamp recorded by elasticsearch 
 @timestamp Sep 10, 2019 @ 20:06:48.525
预期结果将是将monitortime作为数据类型日期。

事件是否标记为“_dateparsefailure”?当示例数据中没有时,为什么在模式中定义时区偏移/id(ZZZ)?是事件标记为“_dateparsefailure”。另外,让我尝试删除ZZZ“tags”=>[[0]“monitor”、[1]“\u dateparsefailure”,这意味着日期筛选器插件失败,这意味着它无法根据提供的模式匹配数据(monitortime的值)。尝试不带时区偏移量/id(ZZZ)的模式(请参见上面的注释) 
date {
        locale => "en"
        match => [ "monitortime", "MMM dd, yyyy kk:mm:ss.SSS aa ZZZ", "YYYY-MM-dd kk:mm:ss.SSS aa ZZZ" ]
        timezone => "Etc/UCT"
        }

message "Error","Jun 14, 2019 02:47:33 pm","xxxxxxxxxx",0,0,"stage_1","HomePage: Sign in link is not visible!"

monitortime Jun 14, 2019 02:47:33 pm

monitortime  string


Timestamp recorded by elasticsearch 
 @timestamp Sep 10, 2019 @ 20:06:48.525