https://blog.csdn.net/wuyinggu ... 79016
类似
input { stdin {} }
output { stdout { codec => rubydebug } }
filter {
date {
match => ["message","UNIX_MS"]#message在实际应用中修改为自己的字段
target => "@timestamp"
}
ruby {
code => "event['timestamp'] = LogStash::Timestamp.new(event['@timestamp']+ 8*60*60)"
}
ruby {
code => "event['@timestamp']= event['timestamp']"
}
mutate {
remove_field => ["timestamp"]
}
}
这种方式 会硬生生吧 时间➕了8个小时,本来只是格式化显示问题(转换成Long是正确的),按上面做了之后(转换成Long时间会多8个小时的)
上述做法只适合用来 做ES的索引名称使用 避免把 背景时间12号1点的日志存到INDEX-2018-12-11的索引里去(提前一天)
类似
input { stdin {} }
output { stdout { codec => rubydebug } }
filter {
date {
match => ["message","UNIX_MS"]#message在实际应用中修改为自己的字段
target => "@timestamp"
}
ruby {
code => "event['timestamp'] = LogStash::Timestamp.new(event['@timestamp']+ 8*60*60)"
}
ruby {
code => "event['@timestamp']= event['timestamp']"
}
mutate {
remove_field => ["timestamp"]
}
}
这种方式 会硬生生吧 时间➕了8个小时,本来只是格式化显示问题(转换成Long是正确的),按上面做了之后(转换成Long时间会多8个小时的)
上述做法只适合用来 做ES的索引名称使用 避免把 背景时间12号1点的日志存到INDEX-2018-12-11的索引里去(提前一天)
0 个回复