非常新的grok并努力解析以下日期时间
[170316 03:51:03.102][Columbia.SIMPLY][WS_D_001]
我尝试使用预定义的日期时间模式解析第一个datetime字段但没有成功。格式为YYMMDD HH:MM:SS。
可能需要自定义模式吗?
任何人都可以提供帮助?非常感谢!
答案 0 :(得分:1)
以下grok模式将正确解析您的日志行:
grok {
match => {"message" => "\[(?<year>\d{2})%{MONTHNUM:month}%{MONTHDAY:day} %{TIME:time}\]\[%{GREEDYDATA:message1}\]\[%{GREEDYDATA:message2}\]"}
}