logstash将UTC时间转换为长时间戳_Logstash

logstash将UTC时间转换为长时间戳

logstash

logstash将UTC时间转换为长时间戳,logstash,Logstash,我有一个请求，将日志的时间格式（如yyyy-MM-dd HH:MM:ss）转换为长时间戳，但我不知道如何在logstash插件日期中设置它，无论如何，建议将不胜感激日期{}筛选器接受两个参数：包含日期字符串的字段和指定格式的另一个字符串。默认输出是覆盖@timestamp字段，这是elasticsearch（和kibana）使用的默认文档日期通过将其转换为日期，您可以使用它执行所有神奇的elasticsearch日期类型操作（如将其与“现在”等进行比较）。您可以使用Ruby插件进行转换。下面

我有一个请求，将日志的时间格式（如yyyy-MM-dd HH:MM:ss）转换为长时间戳，但我不知道如何在logstash插件日期中设置它，无论如何，建议将不胜感激

日期{}筛选器接受两个参数：包含日期字符串的字段和指定格式的另一个字符串。默认输出是覆盖@timestamp字段，这是elasticsearch（和kibana）使用的默认文档日期

通过将其转换为日期，您可以使用它执行所有神奇的elasticsearch日期类型操作（如将其与“现在”等进行比较）。

您可以使用

Ruby

插件进行转换。下面是示例配置

input {
        stdin {
        }
}

filter {
        ruby {
                code => "
                        # yyyy-MM-dd HH:mm:ss
                        event['parseTime'] = Time.parse(event['message']).to_i

                "
        }
}
output {
  stdout{codec => "rubydebug"}
}

样本输入：

2015-11-03 15:00:11

样本输出：

{
       "message" => "2015-11-03 15:00:11",
      "@version" => "1",
    "@timestamp" => "2015-11-03T08:31:27.419Z",
          "host" => "BEN_LIM",
     "parseTime" => 1446534011
}

parseTime

字段采用时间戳格式

最后，如果您的时间需要精确的µs，在ruby插件中，您应该使用（time.parse（event['message']）.to_f）.floor，谢谢@Ben Lim anwser，