2015-03-13 00:23:37.616
我尝试使用grok格式化以下日期格式。我试过了:
SYSLOGTIMESTAMP, DATESTAMP_EVENTLOG, DATESTAMP_RFC2822
没有成功。任何人都能解释一下吗?
答案 0 :(得分:4)
您提到的时间戳可以使用TIMESTAMP_ISO8601模式与Logstash匹配。
filter {
grok {
match => ["message", "%{TIMESTAMP_ISO8601:timestamp_match}"]
}
}
您可以通过输入2015-03-13 00:23:37.616和%{TIMESTAMP_ISO8601:timestamp_match}
您可能希望匹配不同的字段名称,但这是基本想法。
可以在Logstash documentation或GitHub上找到内置模式。