2

如何为时间格式 01/27/2015 09:32:44 AM 编写 grok 模式我尝试了 %{DATESTAMP:timestamp} 但它没有包含 AM,非常感谢任何帮助。

4

1 回答 1

5

您应该为自己创建一个自定义模式文件。如此处所述

根据我的经验,在模式文件中,创建此模式

DATESTAMP_12HOUR %{DATESTAMP} (AM|PM)

然后,当您使用grok插件并指定您的海关模式目录时。

filter{
    grok {
            patterns_dir => "./patterns"
            match => [
                    "message","%{DATETIME_12HOUR:msgTime}"

            ]
    }
}
于 2015-01-28T01:02:08.887 回答