我有以 syslog 格式记录时间的日志。我想将该时间戳的元数据标记转换为纪元时间以用于输出到石墨。
这就是我到目前为止所拥有的。我不相信日期过滤器会做我希望它做的事情,即获取时间戳并将其转换。有没有办法过滤系统日志时间戳并将其变异为纪元?
filter {
if [type] == "uwsgi-syslog" {
grok { match => { "message" => "%{COMBINEDAPACHELOG}" }}
grok { match => [ "message", "%{SYSLOGTIMESTAMP:[@metadata][epoch]}" ]}
date { match => [ "[@metadata][epoch]", "UNIX" ] }
mutate { add_field => { "metric_type" => "gauge" }}
mutate { add_field => { "metric_value" => "%{[@metadata][epoch]},%{response}" }}
mutate { add_field => { "metric_name" => "logstash.uwsgi.response" }}
}
}