0

我已成功将 Windows 事件日志集成到 Logstash。Windows 事件日志上的时间戳如下所示:20131007071942.087375-000

为了将此时间戳转换为可读的时间戳,我使用了 logstash 上的日期过滤器。

date{
  match => [ "TimeGenerated", "yyyyMMddHHmmss.ssssss-sss" ]
}

这给了我这个错误:

 ←[33mFailed parsing date from field {:field=>"TimeGenerated", :value=>"20131007080720.040037-
000", :exception=>java.lang.IllegalArgumentException: Invalid format: "20131007080720.040037-
000" is too short, :level=>:warn}←[0m

如果有人可以帮助我解决这个问题,那就太好了。谢谢

4

1 回答 1

0

尝试使用 grok 调试器:

http://grokdebug.herokuapp.com/

并查看现有的正则表达式模式:https ://github.com/logstash/logstash/tree/master/patterns

为了让你开始:

%{YEAR:YYYY}%{MONTHNUM:MM}%{MONTHDAY:dd}%{GREEDYDATA:remainder}

于 2013-10-15T14:22:05.270 回答