Question

下面是我的s3存储桶中存在的日志文件中的时间戳。

[2019-10-17 10：23：02.021 GMT] ***** ImpEx流程'CQExport'已完成（状态：确定，详细信息：错误=确定，ID：1571307782013）。 *****

[2019-11-27 00：15：01.799 GMT]调试[]开始DR备份

我想在kibana仪表板上用@timestamp替换日志文件时间戳。

例如：我想用kibana仪表板上的日志文件时间戳[2019-10-17 14：21：05.301 GMT]替换/可视化时间Dec 16，2019 @ 20：04：57.524

下面是我已配置的代码段，但看不到日志文件时间戳。

**filter {
      grok {
          match => { "message" => "^%{TIMESTAMP_ISO8601:timestamp}" }
      }
     date {
         match => [ "timestamp" , "ISO8601" ]
         target => "@logtimestamp"
         locale => "en"
         timezone => "UTC"
    }
}**

Answer 1

在conf下面尝试，目标为@timestamp

filter {
  grok {
            match => { "message" => "\[(?<timestamp>%{TIMESTAMP_ISO8601}) (?<TZ>GMT)\]" }
        }
    date {
         match => [ "timestamp" , "ISO8601" ]
         target => "@timestamp"
         locale => "en"
         timezone => "UTC"
    }
}

Answer 2

您在创建索引时选择了什么时间过滤器字段名称？

logstash将@timestamp替换为日志文件时间戳

2 个答案: