Logging 自定义时间戳的Grok格式

我尝试使用grok来格式化以下日期格式。我试过：

系统日志时间戳， 日期戳(事件日志)， 邮戳RFC2822

---

没有成功。有人能解释一下吗？

您提到的时间戳可以通过Logstash与

时间戳\u ISO8601

模式匹配

2015-03-13 00:23:37.616

您可以通过输入

2015-03-13 00:23:37.616

和

%{TIMESTAMP\u ISO8601:TIMESTAMP\u match}

您可能希望匹配到不同的字段名，但这是基本想法

---

内置模式可以在或中找到。

为什么Grok Debugger会给我这些额外的信息<代码>“年”：[“2015”]，“月”：[“03”]，“月日”：[“13”]，“小时”：[“00”，零]，“分钟”：[“00”，零]，“秒”：[“38.582”]，我在过滤器文件中实现了这一点，但我没有获得额外的属性，这才是最重要的。谢谢rutter@pcproff如果选择“仅命名捕获”，这些应该会消失（这是grok中的默认行为，但不是在调试器中）。这些其他匹配项是构成

时间戳\u ISO8601

的子模式。有时候，当你在探索时，你可以很方便地看到它们，但除此之外，它们可能会很吵。

filter {
    grok {
        match => ["message", "%{TIMESTAMP_ISO8601:timestamp_match}"]
    }
}