如何为时间格式编写grok模式01/27/2015 09:32:44 AM

时间:2015-01-27 10:18:03

标签: logstash logstash-grok

如何为时间格式编写grok模式01/27/2015 09:32:44 AM 我尝试了%{DATESTAMP:timestamp},但它没有接受AM,任何帮助都非常感谢。

1 个答案:

答案 0 :(得分:5)

您应该为自己创建自定义模式文件。如here

中所述

根据我的经验,在模式文件中,创建此模式

DATESTAMP_12HOUR %{DATESTAMP} (AM|PM)

然后,当您使用grok插件并具体说明您的海关模式目录时。

filter{
    grok {
            patterns_dir => "./patterns"
            match => [
                    "message","%{DATETIME_12HOUR:msgTime}"

            ]
    }
}
相关问题
最新问题