ELK 中用于查找时差的 Elapse 插件是否仅使用默认的@timestamp(当日志被摄取到 ES 时)或者我们可以配置为 log_time(来自日志的时间戳)?
我的要求是找到两个不是实时输入到弹性搜索的日志之间的时间差。
我目前没有日志来检查它,所以很快就能得到答案。提前致谢。
问问题
115 次
1 回答
1
不确定我是否理解,但听起来您索引的文档有一个名为“log_time”的字段,但是当您索引这些文档时,它会添加“@timedtamp”字段,其中有不同的时间。
如果是这种情况,有两个选项可供您选择,两者都将获取“log_type”的值并在索引时将其复制到 @timestamp 字段。
要么使用 logstash 日期过滤器https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html
或使用带有日期处理器的 ES 摄取管道:https ://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html
于 2019-03-07T10:24:42.897 回答