ELK中用于查找时差的Elapse插件仅使用默认的@timestamp(将日志提取到ES时)还是可以配置为log_time(日志中的时间戳)?
我的要求是找到两个日志之间的时间差,这不是实时输入弹性搜索。
我目前没有要检查的日志,因此很快得到答复将非常有用。预先感谢。
答案 0 :(得分:1)
不确定我是否理解,但是听起来您索引的文档中有一个名为“ log_time”的字段,但是当您对这些文档进行索引时,它会添加“ @timedtamp”字段,其中的时间不同。
如果是这种情况,那么您有两个选择,两个都将采用'log_type'的值并将其在索引时间复制到@timestamp字段。
使用logstash日期过滤器https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html
或通过日期处理器https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html
使用ES接收管道