logstash的@timestamp时间问题

标签：logstash 时间

方法：

在filter里面加上这段代码即可修改。

ruby {
    code => "event.timestamp.time.localtime"
  }

加上以后再看@timestamp就是我所需要的系统时间。

情景2、将@timestamp变成日志文件中日志产生的时间，

log_timestamp 是日志文件中的时间，让@timestamp显示此时间

date {
    match => ["log_timestamp","Y-M-D HH:mm:ss"]
    remove_field => ["log_timestamp"]       ＃必须删除日志文件中原有字段。
}

情景3、将@timestamp变成日志文件中日志产生的时间，但是日志文件中时间为utc时间，要转换成utc＋8的时间

mutate {
      gsub => ["log_timestamp","[ ]","T"]
      replace => ["log_timestamp","%{log_timestamp}+08:00"]
}

logstash的@timestamp时间问题

标签：logstash 时间

原文地址：http://blog.51cto.com/10639817/2089762