Logstash Elasticsearch 输出使用输入文件中的解析字段
Logstash Elasticsearch output use parsed field from input file
我有很多格式为 drupallogYYYYMMDD
的旧日志文件,我想将它们放入 logstash 中,默认情况下,elasticsearch 输出会创建今天的索引。我可以用 index: "...."
覆盖它但是有没有办法在 logstash conf 文件中设置它所以它从上面获取 YYYYMMDD
并将其变成命名约定 logstash-YYYY-MM-DD
?
elasticsearch output 的索引选项默认为 "logstash-%{+YYYY.MM.dd}",但如果您喜欢在日期中使用连字符,可以将其更改为 "logstash-%{+YYYY-MM-dd}"。
插入到所述索引名称模式中的日期是每条消息的时间戳(即@timestamp)字段。由于 @timestamp 是 UTC,它可能不完全对应于日志文件名中的日期,具体取决于您如何命名文件以及您所在的时区。您不应尝试更改 @timestamp 字段的时区。其他工具取决于消息的 @timestamp 字段和存储它的索引之间的映射。
我有很多格式为 drupallogYYYYMMDD
的旧日志文件,我想将它们放入 logstash 中,默认情况下,elasticsearch 输出会创建今天的索引。我可以用 index: "...."
覆盖它但是有没有办法在 logstash conf 文件中设置它所以它从上面获取 YYYYMMDD
并将其变成命名约定 logstash-YYYY-MM-DD
?
elasticsearch output 的索引选项默认为 "logstash-%{+YYYY.MM.dd}",但如果您喜欢在日期中使用连字符,可以将其更改为 "logstash-%{+YYYY-MM-dd}"。
插入到所述索引名称模式中的日期是每条消息的时间戳(即@timestamp)字段。由于 @timestamp 是 UTC,它可能不完全对应于日志文件名中的日期,具体取决于您如何命名文件以及您所在的时区。您不应尝试更改 @timestamp 字段的时区。其他工具取决于消息的 @timestamp 字段和存储它的索引之间的映射。