我有一个看起来像的字段 23时59分47秒
我试过了
%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}
但是这给了我一般的grokparsefailure。冒号可能是问题?
{时间:时间}效果很好,但我想要小时,分钟和秒。
filter {
grok {
match => {"message" => "%{DATE:date} %{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second} %{GREEDYDATA:logMessage}"}
}
}
答案 0 :(得分:1)
我知道这是一个很老的问题,但我只是有相同的查询,而TIME似乎现在正常工作。
使用https://grokdebug.herokuapp.com/和23:59:57作为输入,%{TIME:timestamp}作为过滤器给我原始加上单独的字段为HOUR,MINUTE和SECOND