我正在使用以下过滤器尝试Grok
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:time}" }
}
date {
match => [ "time", "ISO8601"]
}
使用此数据
[2014-06-19 16:07:02,347] INFO - [Start External Integration context] [45] Starting service
匹配,但不会更改@timestamp。
有什么问题?我花了几个小时玩这个,没想到任何事情让它发挥作用。
如果重要的话,运行Windows ......
答案 0 :(得分:3)
知道了!
看起来日期过滤器“ISO8601”无法使用DATE和TIME之间的空格
所以这是有效的
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:time}" }
}
date {
match => [ "time", "YYYY-MM-dd HH:mm:ss,SSS"]
}