我使用logstash索引弹性数据库中的一些旧日志文件。 我需要kibana / elastic来设置日志文件中的时间戳作为主@timestamp。
我以下列方式使用grok过滤器: %{TIMESTAMP_ISO8601:@timestamp} 而elasticsearch将索引的时间设置为主要的@timestamp,而不是在日志行中写入的时间戳。
知道我在这里做错了什么吗?
由于
答案 0 :(得分:5)
使用date filter设置@timestamp字段。以任何格式将时间戳提取到单独的(临时)字段中,例如, timestamp,并将其提供给日期过滤器。在您的情况下,您很可能能够使用特殊的ISO8601时间戳格式令牌。
filter {
date {
match => ["timestamp", "ISO8601"]
remove_field => ["timestamp"]
}
}