Elasticsearch无法解析[timestamp]

时间:2017-11-29 13:40:59

标签: date elasticsearch logstash

我知道有30个相同的问题,但我无法用其中一个答案解决我的问题。我让我的索引工作了7天然后我决定删除数据:

DELETE csv

因为我确实一遍又一遍地上传相同的日期进行测试。在此之后我尝试再次上传数据,所以我只得到了它的一个副本。我没有更改我上传的.csv文件中的任何内容。

但是我收到了错误消息:

[2017-11-29T14:23:44,345][WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"csv", :_type=>"csv", :_routing=>nil}, 2017-10-01T04:13:19.000Z DESKTOP-*** **.0.0.201,Fred Orr ,Fred_Orr@**.s**m,2017-10-01;06:13:19,** Story: This Tiny Pill Changes Everythi], :response=>{"index"=>{"_index"=>"csv", "_type"=>"csv", "_id"=>"*****", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse [timestamp]", "caused_by"=>{"type"=>"illegal_argument_exception", "reason"=>"Invalid format: \"2017-10-01;06:13:19\" is malformed at \";06:13:19\""}}}}}

在logstash中,我得到了以下配置:

date {
    match => ["timestamp", "YYYY-MM-dd;HH:mm:ss"]
    target => "@timestamp"
   }

我在csv文件中的日期是:2017-10-01; 06:13:19 我尝试将其与2017-10-01; 06:13:19相匹配?但它在06:13:19部分失败了。出了什么问题? 我试着替换;与 - 或一个空间,但没有任何工作。 这样:

2017-10-01 06:13:19
2017-10-01-06:13:19

但是我在最后一部分时间里一直收到错误。

映射:

"properties": {
          "@timestamp": {
            "type": "date"
          },

我不明白什么是错的?它在删除inde

之前有效

1 个答案:

答案 0 :(得分:2)

对于非格式化语法,您需要在值周围放置单引号字符。试试这个:

date {
    match => ["timestamp", "YYYY-MM-dd';'HH:mm:ss"]
    target => "@timestamp"
}