Question

我有以下过滤器：

date {
  match => [ "zeppelin_timestemp", "YYYY-MM-dd HH:mm:ss,SSS" ] 
  add_field => { "debug" => "timestampMatched"}
  target = "@timestamp"
  }

输出结果为：

 {
           "message" => "INFO [2015-08-28 13:39:06,326] ({Thread-25} ZeppelinServer.java[run]:122) - Bye\r",
          "@version" => "1",
        "@timestamp" => "2015-08-28T10:39:06.326Z",
              "host" => "127.0.0.1",
              "type" => "zeppelin",
         "log_level" => "INFO",
"zeppelin_timestemp" => "2015-08-28 13:39:06,326",
              "data" => "({Thread-25} ZeppelinServer.java[run]:122) - Bye\r",
              "tags" => [
    [0] "zeppelin_log_event"
],
             "debug" => "timestampMatched"

}

正如您所看到的那样，日期过滤器已通过，因为我有＆＃34; debug＆＃34; =＆GT; ＆＃34; timestampMatched＆＃34;组。但是也 ＆＃34; @ timestamp＆＃34; =＆GT; ＆＃34; 2015-08-28T10：39：06.326Z＆＃34;没有设定。

原始输入是： INFO [2015-08-28 13：39：06,326]（{Thread-25} ZeppelinServer.java [run]：122） - 再见

任何帮助？

Answer 1

是的，它设置正确，只是为了UTC。我打赌你退休3小时，对吧？

大提示是毫秒值 - 我怀疑很少有网站在相同的毫秒内生成，发送和处理日志。

logstash @timestemp未使用日期过滤器更新

1 个答案: