阅读排行
首页 > 技术文章

logstash的@timestamp时间问题

情景1、@timestamp时间使用的是utc时间,要将@timestamp时间转换成本地date时间。

方法:

在filter里面加上这段代码即可修改。

ruby {
    code => "event.timestamp.time.localtime"
  }

加上以后再看@timestamp就是我所需要的系统时间。

情景2、将@timestamp变成日志文件中日志产生的时间,

log_timestamp 是日志文件中的时间,让@timestamp显示此时间

date {
    match => ["log_timestamp","Y-M-D HH:mm:ss"]
    remove_field => ["log_timestamp"]       #必须删除日志文件中原有字段。
}

情景3、将@timestamp变成日志文件中日志产生的时间,但是日志文件中时间为utc时间,要转换成utc+8的时间

mutate {
      gsub => ["log_timestamp","[ ]","T"]
      replace => ["log_timestamp","%{log_timestamp}+08:00"]
}
文章来自:http://blog.51cto.com/10639817/2089762
© 2021 jiaocheng.bubufx.com  联系我们
ICP备案:鲁ICP备09046678号-3