我在日志中的日期为:
2016年7月8日08:58:07,258 ......
目前我正在使用:
%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})[T ]...
解析它。
如何将其转换为日期类型。当我们有一个现有的grok模式时,我知道如何使用'date'这样做但在我的情况下如何做到这一点?
答案 0 :(得分:1)
您可以拥有自定义模式:
(?<log_timestamp>%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND}[T ])
有了这个,您就可以使用log_timestamp过滤器提供的字段date。
或者您可以使用ruby过滤器将所有字段连接到一个字段中以提供给date过滤器。