Logstash -使用当前日期作为时间戳日期

Question

我想使用当前日期作为时间戳(日期)，因为这些信息在我们的日志文件中是不可用的。示例-> main_core.log：

04:00:19.675 [ActiveMQ Task-9] INFO  a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345

我想将它分开，并使用当前日期作为日志文件中的日期和时间戳。

这可能吗？

谢谢，并致以许多问候

Answer 1

您可以添加一个包含日志中丢失的时间戳部分的字段，然后将其与包含小时的变量连接起来，并将其用作@时间戳字段。

下面的过滤器执行如下操作：

filter {
    grok {
        break_on_match => false
        match => ["message","%{TIME:hour} %{GREEDYDATA:msg}"]
        tag_on_failure => [ "_grokparsefailure"]
        add_field => { "time" => "%{+YYYY-MM-dd}"}
        add_field => { "timestamp" => "%{time} %{hour}" }
    }
    date {
        target => "@timestamp"
        match => ["timestamp", "YYYY-MM-dd HH:mm:ss.SSS"]
    }
}

首先，它将您的消息与grok模式匹配，该模式将提取小时并将其保存到字段名hour中，其余的将保存在字段名msg中，但如果需要，则可以解析其余内容。

然后，它将添加一个字段名time，其模式为YYYY dd，例如2018-07-12。

之后，它将创建一个名为timestamp的字段--字段time和字段hour，这将导致2018-07-12 4:00:19.675。

date过滤器用于使用您生成的时间戳作为弹性中的默认时间戳字段，即@timestamp。

用于此筛选器的日志存储输出如下所示：

{
 "@timestamp":"2018-07-12T04:00:19.675Z",
 "message":"04:00:19.675 [ActiveMQ Task-9] INFO a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345",
 "timestamp":"2018-07-12 04:00:19.675",
 "msg":"[ActiveMQ Task-9] INFO  a.b.c.t.failover.FailoverTransport - Successfully reconnected to ssl://localhost:12345",
 "time":"2018-07-12",
 "@version":"1",
 "hour":"04:00:19.675",
 "host":"logstash-hostname"
}