如果有人替换Logstash管道中的@timestamp字段而没有将DateTime转换为字符串,然后对该列进行日期过滤?
mutate {
convert => ["datetime", "string"]
}
date {
match => ["datetime", "ISO8601"]
}
答案 0 :(得分:1)
因为jdbc输出字段 datetime 是日期类型,所以我们可以将其复制为@timestamp字段。
filter {
mutate {
copy => { "datetime" => "@timestamp" }
}
}
答案 1 :(得分:0)
为了避免使用多个过滤器,可以对字段执行简单的重命名,如下所示:
mutate {
id => "sample-rename-timestamp"
rename => {
"datetime" => "@timestamp"
}
}
这将使用您提供的字段替换邮件到达@timestamp。