我不清楚如何使用正确的“类型”将数据通过logstash上传到Elasticsearch
我的意思是,我有一个带有系统日志消息的文件,其中包含一个DATE的部分:我在logstash中使用GROK来解析标识%DATE的字符串和消息的其他部分,然后我发送到输出elasticsearch { }:elsaticsearch中的DATE显示为STRING而不是DATE。我希望这些数据能够在Elsaticsearch中使用正确的类型进行适当的鉴定。 其他文件也是如此,即使由GROK解析为INT,DATE等,在Elasticsearch中看起来都是STRING 我该如何解决这个问题?
提前致谢
佛朗哥
答案 0 :(得分:0)
与日志文件中的日期相关的典型操作是将@timestamp替换为该值。首先,使用grok {}从中创建一个字段,然后将其提供给日期{}过滤器。
如果您需要在活动中创建第二个日期字段,则可以指定" target"在日期{}过滤器中,将结果放在您选择的字段中。