ELK,萌萌哒
多时间

多时间

logstash多时间(date)字段文档导入

Logstashlsyoung 发表了文章 • 1 个评论 • 5954 次浏览 • 2017-04-13 20:43 • 来自相关话题

我们都知道如果文档中有表示时间的字段时可以用如下方法将字段转化为date(timestamp)格式导入
date {
        match => [ "submission_time", "yyyyMMdd" ]
    }
但是如果一条记录中有多个字段需要使用date类型呢?有人遇到了 同样的问题How to parse multiple date fields?其实多次使用date{}语法就行了,例如:
date {
        match => [ "submission_time", "UNIX_MS" ]
        target => "@timestamp"
        }
date {
        match => [ "submission_time", "UNIX_MS" ]
        target => "submission_time"
        }
date {
        match => [ "start_time", "UNIX_MS" ]
        target => "start_time"
        }
date {
        match => [ "end_time", "UNIX_MS" ]
        target => "end_time"
        }
查看官方文档后, 发现一直使用的date是省去了参数target的,而target默认值为@timestamp。
更多...

logstash多时间(date)字段文档导入

Logstashlsyoung 发表了文章 • 1 个评论 • 5954 次浏览 • 2017-04-13 20:43 • 来自相关话题

我们都知道如果文档中有表示时间的字段时可以用如下方法将字段转化为date(timestamp)格式导入
date {
        match => [ "submission_time", "yyyyMMdd" ]
    }
但是如果一条记录中有多个字段需要使用date类型呢?有人遇到了 同样的问题How to parse multiple date fields?其实多次使用date{}语法就行了,例如:
date {
        match => [ "submission_time", "UNIX_MS" ]
        target => "@timestamp"
        }
date {
        match => [ "submission_time", "UNIX_MS" ]
        target => "submission_time"
        }
date {
        match => [ "start_time", "UNIX_MS" ]
        target => "start_time"
        }
date {
        match => [ "end_time", "UNIX_MS" ]
        target => "end_time"
        }
查看官方文档后, 发现一直使用的date是省去了参数target的,而target默认值为@timestamp。
更多...
Copyright © 2024 · CC BY-NC-SA 3.0

本站服务器及带宽由 提供赞助