我有以下日志
1 iCEXnXWuShGYRlDbHEADlQ 1 3 sara482 1573151463576 1.5 13.8 0.0 0 0 62.6 ||
我的骗子模式在下面
“消息”,“%{NUMBER:log_Level}(?[^ \ s] +)%{NUMBER:mcty}%{NUMBER:agty}(?[^ \ s] +)%{INT:ts}% {NUMBER:cpu}%{NUMBER:mem}%{NUMBER:swap}%{NUMBER:diskr}%{NUMBER:diskw}%{NUMBER:diskc} \ | \ |%{GREEDYDATA:appc}“
我如何将字段ts设置为@timestamp,目前,如果我检查字段映射以获取这些日志存储在Elastic Search中的索引,则字段ts映射为字符串,我可以将其余字段更改为Num / Float但是只有字段ts,我无法将其转换或匹配为@timestamp。
我曾尝试将文件转换为UNIX / UNIX_MS,但是如果我尝试将其映射为NUM / INT以外的任何内容,我的logstash会中断
您可以将其添加到logstash配置:
date {
match => [ "ts", "UNIX" ]
target => "ts"
}