注册
登录
ELK
ELK堆栈日志时间戳
返回
ELK堆栈日志时间戳
作者:
喜欢一个人
发布时间:
2024-12-29 11:06:52 (15天前)
转自:
<div class =“excerpt”> 我比较新 <span class =“result-highlight”> 麋鹿 </跨度> 一般情况下堆栈,我正在尝试从2014年开始处理一些旧的日志以进行可视化。我想知道是否有办法让Kibana显示与 相同的时间戳 </DIV>
收藏
举报
2 条回复
0#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 时间戳仅显示logstash获取日志并保存到elasticsearch的时间。 Logstash无法知道何时创建了日志。唯一可能的方法就是知道这一点,如果它们是系统日志或你自己的日志里面有时间戳,你可能会把时间保存在日志里面。然后,您可以在logstash中创建一个过滤器,然后将其用作键。 </p> <P> 您可以使用grok过滤器。 </p> <P> <a href="http://grokconstructor.appspot.com/do/match" rel="nofollow"> http://grokconstructor.appspot.com/do/match </A> </p> <P> 例: </p> <P> 输出日志 </p> <pre> <code> 55.3.244.1 GET /index.html 15824 0.043 </code> </pre> <P> 过滤 </p> <pre> <code> %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} </code> </pre> <P> Logstash配置 </p> <pre> <code> input { file { path => "/var/log/http.log" } } filter { grok { match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" } } } </code> </pre> </DIV>
编辑
登录
后才能参与评论
