-1
我正在使用Elastic,Fluentd & kibana堆栈进行集中式日志监视并通过它来构建智能。我使用Grok过滤器插件来解析日志,但是我无法覆盖kibana使用的@timestamp和从日志读取的时间戳,而是使用日志尾部时间戳的时间戳。请帮忙。使用日志时间戳记覆盖尾部时间戳记fluentD
A
回答
0
您必须在导入日志时解析日志。
对于最常见的日志格式,有多种内置的解析器格式,但要注意的关键是,当您解析日志时,您需要提及time_key是什么,或者解析出日志消息中的值字符串并将其设置为time。
到这里看看:http://docs.fluentd.org/articles/parser-plugin-overview
特别是在多格式,你会看到有如何使用正则表达式解析和提取到的时间字段。