我正面临着与kibana相关的时间问题 . 我的日志文件具有较旧的时间戳,但是当我解析日志文件时,@ timestamp会获取当前时间戳而不是日志文件的原始时间 .
这是我的日志文件条目的示例:
2015-12-25 17:39:45+0000 [SSHChannel session (0) on SSHServicessh-connection on HoneyPotTransport,21438,220.166.50.228] Closing TTYLog: log/tty/20151225-173944-319eb90f.log
我正在使用grok使用正则表达式匹配时间戳并将其存储在 mytimestamp 字段中 .
grok {
match => ["message", "(?<mytimestamp>%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day} %{TIME:time}%{ISO8601_TIMEZONE})"]
}
然后我与日期过滤器匹配,使kibana使用日志文件时间戳 .
#Matches with timestamp
date {
match => [ "mytimestamp" , "yyyy-MM-dd HH:mm:ss" ]
}
我在stackoverflow上阅读了一些较旧的问题并试图根据它们解决我的问题,但我想我错过了一些关键的东西 .
1 回答
您的日期过滤器错误 . mytimestamp包含一个时区 . 所以日期过滤器应该是: