我已经尝试更新我的索引模板以直接在Elasticsearch中的映射级别允许epoch和ISO8601日期格式,这应该覆盖@timestamp字段。到目前为止,我没有运气。我的模板可以在http://pastebin.com/1DCT6GfM查看。
基本上,一旦我解析了Jess日志被Logstash解析,Elasticsearch应该识别这些字段并自动更新@timestamp字段。潜在日志事件的示例包括:
{"timestamp_epoch": "1432146610", "message": "This is a test message to test epoch timestamp events", "category": "testing", "country": "EU"}
或
{"timestamp_iso8601": "2015-05-20T14:30:20-05:00", "message": "This is a test message to test epoch timestamp events", "category": "testing", "country": "US"}
请注意,除timestamp_epoch和timestamp_iso8601外,该模板中的所有其他映射都可以正常工作。我可以告诉这两个映射没有生效,因为@timestamp没有更新到正确的值。
您可以在此处查看一些原始示例Elasticsearch条目:http://pastebin.com/HmtmNNAb
timestamp_iso8601 的类型正在更新为date,但它不会覆盖@timestamp字段, timestamp_epoch 设置为字符串而不是日期
如果有人能够确切地说明我做错了什么,我真的很感激。
谢谢!