时间戳GROK失败

Question

grok时间戳模式一些问题

2020-3-4 10:22:37 >> this will match with this pattern %{TIMESTAMP_ISO8601:my_time}

2020-3-4 0:2:37 >> this will fail with this pattern %{TIMESTAMP_ISO8601:my_time}

我还试图通过使用像YEAR MONTH AND DAY这样的单独模式来匹配模式，但当它到达time %{HOUR}:%{MINUTE}:%{SECOND}时，它将再次中断。有什么想法吗？

Answer 1

问题在于如何在logstash：(?:[0-5][0-9])中使用分钟模式is defined。此模式需要一个两位数的分钟数，在第二种情况下会中断(2020-3-4 0:2:37)。

我更改了模式，接受一个一位数的分钟数：(?:[0-5][0-9]|[0-9])

然后，您可以使用此自定义模式：

(?<my_time>%{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?(?:[0-5][0-9]|[0-9])(?::?%{SECOND})?%{ISO8601_TIMEZONE}?)

这是用我的模式替换了MINUTE的TIMESTAMP_ISO8601。