我是Kibana的新手并创建了一些仪表板等,到目前为止一直很好。
我遇到的一个问题是使用Timespan字段,这是一个.net字段,格式为00:00:00.0053259
理想情况下,我希望查询显示所有时间跨度> 1秒。这在Kibana中是否可行,目前该字段在使用Logstash推送到ElasticSearch之后已被索引为字符串。
是否需要更改此模板以转换为其他格式,如果是,如何?
答案 0 :(得分:1)
首先,您必须编写一个模式以从消息中提取时间跨度数据:
%{INT:hour}[:]%{INT:min}[:]%{INT:sec}[.]%{INT:micro}
然后你可以使用ruby filter转换每个字段然后总结:
ruby {
code => "event['timespan_total'] = 3600 * event['hour'].to_f + 60 * event['min'].to_f + event['secs'].to_f + event['micro'] * 0.0000001"
}