我正在尝试在Fluentd中转换Apache错误日志时间格式,将其用作Kibana的时间戳。
错误日志中有一个带有时间戳的"时间"字段。
我使用它的下一个配置
<filter apache.**>
@type record_transformer
enable_ruby
<record>
# timestamp ${Time.at(time).utc.strftime('%Y-%m-%dT%H:%M:%S%z')}
# or
# timestamp ${time.strftime('%Y-%m-%dT%H:%M:%S%z')}
# or
timestamp ${time.iso8601}
</record>
remove_keys time
</filter>
但所有三个版本都以错误的方式转换(时间和日期不匹配(:;2021年5月3日08:04:19.147574";至";1993-10-24T22:41:18+00:00";
对于Apache访问日志,同样的配置也可以。
谢谢你的建议。
对我来说,只需将time_key添加到弹性搜索中即可。此后,elastic将时间从"0"放入时间戳字段;时间";钥匙我没有像你这样的完整部分:record_transformer
<match example>
@type elasticsearch
host XX.XX.XX.XX
port 9200
time_key time
</match>