举个栗子

马辰龙De技术分享
posts - 24, comments - 0, trackbacks - 0, articles - 0
  博客园 :: 首页 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理

公告

logstash的timestamp使用日志中的日期

Posted on 2017-06-02 10:46 ChenlongMa 阅读(...) 评论(...) 编辑 收藏

    在logstash中,默认会有一个时间字段,用于记录当前收集日志的时间戳,正常情况下没什么问题。当第一次收集日志,或者使用缓存写入的时候,就会发现timastamp会和实际的时间发生偏差。

那么我建议最好使用日志中的时间,转化为logstash的timestamp。

     在filter中加入

date {
         match => ["timeLocal": "dd/MMM/yyyy:HH:mm:ss Z"]
}