以下是从Java应用程序收到的示例日志
2019-04-11 9:08:22:562 Log 1
2019-04-11 9:08:22:660 Log 2
2019-04-11 9:08:43:79 Log 3
2019-04-11 9:08:43:156 Log 4
从上面的日志中,我遇到了Log 3的问题,其中毫秒值仅为79,但在Logstash中解析后,该值设置为790 ms(Logstash解析正确,但java日志值错误)。实际上,该值应该是日志中的2019-04-11 9:08:43:079以进行正确的解析。
Logstash过滤器如下:
date {
match => [ "log_time", "yyyy-MM-dd HH:mm:ss:SSS", "ISO8601" ]
target => "log_time"
timezone => "CET"
}
在深入挖掘时,我发现问题是使用这种时间格式的Java日志记录,如果格式为yyyy-MM-dd HH:mm:ss.SSS,它将被解决。但是日志记录应用程序使用格式yyyy-MM-dd HH:mm:ss:SSS导致此问题(注意格式:SSS和.SSS的差异)。
我无法更改日志记录java系统,因此Logstash过滤器是否有任何解决方法可以解决此问题。
我通过插入0前缀到只有2位数的毫秒来解决它,使用下面的gsub:
mutate { gsub => [ "log_time", "^([0-9-]+ [0-9]+:[0-9]{2}:[0-9]{2}:)([0-9])$", "\100\2",
"log_time", "^([0-9-]+ [0-9]+:[0-9]{2}:[0-9]{2}:)([0-9]{2})$", "\10\2" ] }
得到了elastic discuss group的帮助