Logstash在处理数据的时候,会自动生成一个字段@timestamp,默认该字段存储的是Logstash收到消息/事件(event)的时间。
date插件:日期过滤器用于从字段中解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。
filter {
if [message] =~ "^\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3}\s+\[[a-zA-Z0-9._-]+\]\s*\[\s*[a-zA-Z0-9._-]+\s*\][\s\S]*$" {
grok {
...
}
date {
match => ["logtime", "yyyy-MM-dd HH:mm:ss.SSS"]
#target => "messagetime"
#locale => "en"
#timezone => "+00:00"
remove_field => ["logtime"]
}
}
}nohup bin/logstash -f config.conf >/dev/null &
