Elasticsearch Elapse 插件,用于记录时差
Elastic search Elapse plugin for log time difference
ELK中用于查找时间差的Elapse插件是否仅使用默认的@timestamp(当日志被摄取到ES时)还是我们可以配置为log_time(来自日志的时间戳)?
我的需求是求两个日志的时间差,不是实时输入elasticsearch的。
我目前没有日志来检查它,所以如果能得到快速答复就太好了。提前致谢。
不确定我是否理解,但听起来您索引的文档有一个名为 'log_time' 的字段,但是当您索引这些文档时,它会添加“@timedtamp”字段,其中的时间不同。
如果是这种情况,您有两个选择,都将采用 'log_type' 的值并在索引时将其复制到 @timestamp 字段。
或者使用 logstash 日期过滤器 https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html
或将 ES 摄取管道与日期处理器一起使用:https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html
ELK中用于查找时间差的Elapse插件是否仅使用默认的@timestamp(当日志被摄取到ES时)还是我们可以配置为log_time(来自日志的时间戳)?
我的需求是求两个日志的时间差,不是实时输入elasticsearch的。
我目前没有日志来检查它,所以如果能得到快速答复就太好了。提前致谢。
不确定我是否理解,但听起来您索引的文档有一个名为 'log_time' 的字段,但是当您索引这些文档时,它会添加“@timedtamp”字段,其中的时间不同。
如果是这种情况,您有两个选择,都将采用 'log_type' 的值并在索引时将其复制到 @timestamp 字段。
或者使用 logstash 日期过滤器 https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html
或将 ES 摄取管道与日期处理器一起使用:https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html