我想合并日志文件中的两个字段,并将结果用作logstash的时间戳。
日志文件为csv格式,日期格式有些混乱。日期和时间的格式如下:
Datum => 17|3|19
Zeit => 19:21:50
我尝试了以下代码。
filter {
csv {
separator => ","
columns => [ "Datum", "Zeit" ]
}
mutate {
merge => { "Datum" => "Zeit" }
}
date {
match => [ "Datum", "d M yy HH:mm:ss" ]
}
}
合并部分似乎可以处理此结果
"Datum" => [
[0] "17|3|19",
[1] "23:32:37"
]
但是对于日期转换,我得到以下错误消息:
"_dateparsefailure"
有人可以帮我吗?
答案 0 :(得分:0)
具有以下字段的事件:
"Datum" => "17|3|19"
"Zeit" => "19:21:50"
我有一个有效的配置:
mutate {
merge => { "Datum" => "Zeit" }
}
mutate {
join => {"Datum" => ","}
}
date {
match => [ "Datum", "d|M|yy,HH:mm:ss" ]
}
这在输出中给了我:"@timestamp":"2019-03-17T18:21:50.000Z"