在生产中,kibana默认的排序是按照@timestamp来进行排序,而这一块的@timestamp是我们客户端的采集时间,这往往是我们不需要的,我们需要的是日志的产生时间,要解决这个问题,你可以在elasticsearch建立索引,不采取默认的索引模式,当然这种方法比较繁琐,需要懂得如何在elasticsearch建立索引及运用索引;今天我们研究的是另一种方法,将我们的日志产生日期转换成默认的@timestamp;
1、我们要解析的时间格式是标准的java日期格式:
2019-07-19 10:21:49,755
2、一般解析:
input { stdin {} } filter { grok { match => ["message", "%{TIMESTAMP_ISO8601:times}"] } } output { stdout { codec=>rubydebug{} } }