2

我正在使用以下过滤器尝试 Grok

  grok { 
    match => { "message" => "%{TIMESTAMP_ISO8601:time}" } 
  }
  date { 
    match => [ "time", "ISO8601"]
  }

有了这个数据

[2014-06-19 16:07:02,347] INFO - [Start External Integration context]  [45] Starting service

它匹配,但不会更改@timestamp。

怎么了?我已经花了几个小时在玩这个,但我认为没有任何东西可以让它工作。

如果这很重要,请运行 Windows...

4

1 回答 1

3

知道了!

看起来日期过滤器“ISO8601”不适用于 DATE 和 TIME 之间的空格

所以这行得通

  grok { 
    match => { "message" => "%{TIMESTAMP_ISO8601:time}" } 
  }
  date { 
    match => [ "time", "YYYY-MM-dd HH:mm:ss,SSS"]
  }
于 2014-08-08T03:26:55.003 回答