(1/15/2018 3:00:32 AM)
嗨我有上面的格式,我试图将grok模式写成单独的日期,时间和上午/下午,请帮忙。我使用的是以下模式,但在创建索引时仍然没有看到正确的输出。
grok {
match => {
"message" => "%{MONTHDAY}/%{MONTHNUM}/%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?"
}
}
答案 0 :(得分:1)
第一个数字是一个月,第二个数字是一天,因为它高于12.所以你必须切换%{MONTHDAY}& %{MONTHNUM}喜欢这样:
"%{MONTHNUM}/%{MONTHDAY}/%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?"