kibana 没有超过解析时间戳的趋势
kibana not trending over parsed timestamp
我正在尝试根据存档时间戳对以下数据进行趋势分析。我不确定为什么我的日期和时间没有被解析。根据我的 grok 调试器,它工作得很好。
http://i.stack.imgur.com/GDFAy.png
示例输入:
[15/06/02@11:05:31.233-0700] P-007158 T-4131301152 2 WS 4GLTRACE Run htmAssociate "vsess vsess 1349" [htmOffsets - dpa/setup/vsysadv.w @ 9563]
配置文件
input {
file {
path => "/Users/philipp/Documents/Performance/ProductionMetrics/4gltrace_logs/4gltrace_log_bstash.txt"
start_position => beginning
}
}
filter {
grok {
match => ["message", "\[%{DATE}@%{TIME}-%{INT:TIMEZONE}] %{NOTSPACE:PID} % {NOTSPACE:T} %{INT:NUM} %{WORD:WS} %{WORD:4GLTRACE} %{GREEDYDATA} \[%{DATA:PROGRAM}]"]
}
}
output {
elasticsearch { host => localhost protocol => "http" port => "9200" }
stdout { codec => rubydebug }
}
我确定这是一个愚蠢的疏忽,但不确定它在哪里。感谢任何帮助。
您需要使用 logstash 中的 date{} filter 从您的事件中获取一个字段并将 @timestamp 替换为该值。
如果您有一个名为 my_timestamp 的字段且格式如下,则可以这样做:
date {
match => [ 'my_timestamp', "dd/MMM/yyyy:HH:mm:ss Z" ]
remove_field => [ 'my_timestamp' ]
}
我正在尝试根据存档时间戳对以下数据进行趋势分析。我不确定为什么我的日期和时间没有被解析。根据我的 grok 调试器,它工作得很好。
http://i.stack.imgur.com/GDFAy.png
示例输入:
[15/06/02@11:05:31.233-0700] P-007158 T-4131301152 2 WS 4GLTRACE Run htmAssociate "vsess vsess 1349" [htmOffsets - dpa/setup/vsysadv.w @ 9563]
配置文件
input {
file {
path => "/Users/philipp/Documents/Performance/ProductionMetrics/4gltrace_logs/4gltrace_log_bstash.txt"
start_position => beginning
}
}
filter {
grok {
match => ["message", "\[%{DATE}@%{TIME}-%{INT:TIMEZONE}] %{NOTSPACE:PID} % {NOTSPACE:T} %{INT:NUM} %{WORD:WS} %{WORD:4GLTRACE} %{GREEDYDATA} \[%{DATA:PROGRAM}]"]
}
}
output {
elasticsearch { host => localhost protocol => "http" port => "9200" }
stdout { codec => rubydebug }
}
我确定这是一个愚蠢的疏忽,但不确定它在哪里。感谢任何帮助。
您需要使用 logstash 中的 date{} filter 从您的事件中获取一个字段并将 @timestamp 替换为该值。
如果您有一个名为 my_timestamp 的字段且格式如下,则可以这样做:
date {
match => [ 'my_timestamp', "dd/MMM/yyyy:HH:mm:ss Z" ]
remove_field => [ 'my_timestamp' ]
}