1

(1/15/2018 3:00:32 AM)

嗨,我有上述格式,我试图编写 grok 模式来分隔日期、时间和 AM/PM,请帮助。我正在使用以下模式,但在创建索引时仍然看不到正确的输出。

grok {
  match => {
      "message" => "%{MONTHDAY}/%{MONTHNUM}/%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?"
  }
}
4

1 回答 1

1

第一个数字是一个月,第二个是天,因为它大于 12。所以你必须像这样切换%{MONTHDAY}& %{MONTHNUM}

"%{MONTHNUM}/%{MONTHDAY}/%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}?"
于 2018-02-09T10:30:22.463 回答