我是ES的新手,并且有一个字段tran_timestamp yyyy-MM-dd HH:mm:要上传的文件中的ss。我很困惑如何在ES上传它?我应该用这个值替换现有的@timestamp的值,还是应该将它作为日期单独摄取。 因为我必须按时进行分析。坚持建议。
答案 0 :(得分:0)
根据我们在上述评论中的交换,您只需添加date这样的过滤器,并使用target属性将日期字段存储到解析后:
filter {
... other filters ...
date {
match => ["tran_timestamp", "yyyy-MM-dd HH:mm:ss"]
target => "tran_timestamp"
}
}