我的日志中有日期:
08 7月 2016 08:58:07,258 ...
目前我正在使用:
%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})[T ]...
来解析它。
如何将其转换为日期类型。当我们有一个现有的 grok 模式时,我知道如何使用"日期"来做到这一点,但在我的情况下如何做到这一点?
您可以有一个自定义模式:
(?<log_timestamp>%{MONTHDAY}[T ]%{MONTH}[T ]%{YEAR}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND}[T ])
有了这个,您将拥有一个字段log_timestamp您可以提供给date过滤器。
或者,您可以使用ruby筛选器将所有字段连接为一个字段,以提供给date筛选器。