我有以下形式的nginx的错误日志: -从YYYY/MM/DD HH转换日期格式YYYY-MM-DD SS格式在Logstash为nginx的错误日志
2015/09/30 22:19:38 [error] 32317#0: *23 [lua] responses.lua:61: handler(): Cassandra error: Error during UNIQUE check: Cassandra error: connection refused, client: 127.0.0.1, server: , request: "POST /consumers/ HTTP/1.1", host: "localhost:8001"
作为提到here我能解析这个日志。
我的过滤器配置就像下面: -
filter {
grok {
match => {
"message" => [
"%{DATESTAMP:mydate} \[%{DATA:severity}\] (%{NUMBER:pid:int}#%{NUMBER}: \*%{NUMBER}|\*%{NUMBER}) %{GREEDYDATA:mymessage}",
"%{DATESTAMP:mydate} \[%{DATA:severity}\] %{GREEDYDATA:mymessage}",
"%{DATESTAMP:mydate} %{GREEDYDATA:mymessage}"
]
}
add_tag => ["nginx_error_pattern"]
}
if ("nginx_error_pattern" in [tags]) {
grok {
match => {
"mymessage" => [
"server: %{DATA:[request_server]},"
]
}
}
grok {
match => {
"mymessage" => [
"host: \"%{IPORHOST:[request_host]}:%{NUMBER:[port]}\""
]
}
}
grok {
match => {
"mymessage" => [
"request: \"%{WORD:[request_method]} %{DATA:[request_uri]} HTTP/%{NUMBER:[request_version]:float}\""
]
}
}
grok {
match => {
"mymessage" => [
"client: %{IPORHOST:[clientip]}",
"client %{IP:[clientip]} "
]
}
}
grok {
match => {
"mymessage" => [
"referrer: \"%{DATA:[request_referrer]}\""
]
}
}
}
}
mydate
是具有形式的日期: -
"mydate" => "15/09/30 22:19:38"
有人可以让我知道我可以添加一个字段(让我们说log_day
)日期形式2015-09-30
?
谢谢@hurb。这是按预期工作的。我有一个后续问题。我们可以在不修改'@ timestamp'字段的情况下做到这一点吗?现在这将覆盖'@ timestamp'和日志中的日期。 – tuk
当然,只需将'target =>“log_day”'添加到日期过滤器即可。看我编辑。 – hurb