如何将操做日志中的字符串类型的时间转化成logstash中的@timestamp

最新推荐文章于 2022-06-12 23:56:28 发布
最新推荐文章于 2022-06-12 23:56:28 发布
阅读量7.3k 收藏 2
点赞数
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuguokun1986/article/details/49620579
版权

目标:将操做日志中的字符串类型的时间格式转化成@timestamp

环境:与上几次博客的环境一致

方法:首先由于日志的格式有很多种,Logstash自带的正则表达式可能不满足我们的需求,但是我们可以通过                 grok插件引入自己定义的正则表达式。

具体步骤:在Logstash的安装目录下/home/hadoop1/bms/logstash-1.5.4/conf下创建patterns目录,并在该                            目录下(/home/hadoop1/bms/logstash-1.5.4/conf/patterns)创建mypattern文件,在文件内写好                          自己需要的正则表达式,在本实验中我只想将字符串类型的时间转化成@timestamp,所以我写的                          正则表达式如下:MYPATTERN (?>\d\d){2,2}\-(?:0?[1-9]|1[0-2])\-(?:(?:0[1-9])|(?:[12][0-9])|                                      (?:3[01])|[1-9])\s(0\d{1}|1\d{1}|2[0-3]):[0-5]\d{1}:([0-5]\d{1}):([0-9]{6})

                         注意:该这则表达式,不一定是最好的,但是基本满足我自己的需求。我的时间串大概是:2015-                                       12-12 12:12:12:000000

配置Logstash的配置文件:配置文件内容如下:

input{
   file{
     path => "/home/hadoop1/bms/mylog/http.log"
     start_position => "beginning"
   }
}

filter{

  grok{

     patterns_dir => "./patterns"
     match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},%{MYPATTERN:create_Time}"]}
  }
  date {
     match => [ "create_Time", "yyyy-MM-dd HH:mm:ss:ssssss" ]
     target => "@timestamp"
     add_tag => [ "tmatch" ]
  }

  mutate {

      convert => { "dest_Port" => "integer" }
      convert => { "source_Port" => "integer" }
   }
}

output {
     elasticsearch {

       host => "localhost"
    }
}
~
注意: 
%{MYPATTERN:create_Time}中的MYPATTERN就是我自己定义的匹配我的时间串的正则表达式的名字。


<strong><span style="font-size:24px;">启动logstash集群,启动的命令是:../bin/logstash agent -f kafkaInput_esOutPut3.conf </span></strong>

<strong><span style="font-size:24px;">
</span></strong>
<strong><span style="font-size:24px;">模拟数据发送,发送命令: echo 1.1.1.1,23,2.2.2.2,223,2015-03-03 12:12:12:000000>> /home/hadoop1/bms/mylog/http.log </span></strong>
<strong><span style="font-size:24px;">
</span></strong>
<strong><span style="font-size:24px;">测试结果如下:</span></strong><pre name="code" class="java">[hadoop1@slave2 conf]$ curl 'localhost:9200/logstash-2015.03.03/_search?pretty'
{
  "took" : 3,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 1,
    "max_score" : 1.0,
    "hits" : [ {
      "_index" : "logstash-2015.03.03",
      "_type" : "logs",
      "_id" : "AVDNDMeAlr_lum5SU6ix",
      "_score" : 1.0,
      "_source":{"message":"1.1.1.1,23,2.2.2.2,223,2015-03-03 12:12:12:000000","@version":"1","@timestamp":"2015-03-03T04:12:00.000Z","host":"slave2","path":"/home/hadoop1/bms/mylog/http.log","source_Ip":"1.1.1.1","source_Port":23,"dest_Ip":"2.2.2.2","dest_Port":223,"create_Time":"2015-03-03 12:12:12:000000","tags":["tmatch"]}
    } ]
  }
}


 

 

<strong style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);"><span style="font-size:18px;"></span></strong>

                

        

        

    




    

      

        

            

              
                
                  xuguokun1986
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
基于logstash实现日志文件同步elasticsearch

				
			

			

				

					01-19
				

			

		

		

			
				
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES。   2、源文件:   [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...

			
		

	



                

              
                



	

		

			

				
					
Logstash日志产生时间替换@timestamp

				
			

			

				

					零度的博客专栏
				

				

					07-02
					
					1万+
					
				

			

		

		

			
				
一、跟着官网学习一下date插件      日期过滤器用于从字段解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动没有找到正确的日期,那么稍后搜索它们可能会排序错...

			
		

	



                


  
              

                


	

		

			

				
					
logstash默认timestamp时间戳值修改为日志提取的时间

				
			

			

				

					Zhang Phil
				

				

					06-12
					
					2442
					
				

			

		

		

			
				
logstash的timestamp时间时间由logtash在采集到日志时间时候自动设置,有些时候,需要把这个默认的timestamp时间修改为日志数据提取到的时间,使两者一致。可以通过配置文件实现:


上述配置的grok将匹配每一行日志开始的[]里面的数据作为时间放入到logtime,然后在date里面,将按照yyyy-MM-dd HH:mm:ss.SSS的日期时间格式把时间最终覆盖系统默认的timestamp。也可以通过ruby代码实现把自己提取到的日志时间作为系统默认的时间戳:...

			
		

	





	

		

			

				
					
logstash elasticsearch ealstalert 关于@timestamp的处理

				
			

			

				

					qq_22398523的博客
				

				

					06-18
					
					1971
					
				

			

		

		

			
				
一、需求

1、logstash采集日志数据,并将日志数据写入 ES 集群,其@timestamp采用北京时间(默认为ISO8601)

2、elastalert 间隔60秒运行一次规则文件,如果查询到匹配规则文件的日志,则告警。elastalert默认是查询 @timestamp,并在内部转换为 ISO8601 格式的时间。

二、解决方案

1、 logstash 执行时指定的配置文件,在...

			
		

	



		

			
		



	

		

			

				
					
logstash常见时间格式的定义

				
			

			

				

					weixin_42039715的博客
				

				

					11-27
					
					3285
					
				

			

		

		

			
				
1、在配置文件自定义的时间格式
 例如 tomcat 定义的格式%{yyyy-MM-dd HH:mm:ss Z},按照这样的配置,输出的日志原文是


"timestamp" : "2019-12-11 10:11:12 +0800"

  那么在 logstash 应该这样配置


date {
  match => [ "timestamp", "yyyy-MM-dd HH:mm:ss Z"]
  target => "@timastamp"
}

这样子不会报"_datepa...

			
		

	





	

		

			

				
					
logstash时间@timestamp转化时间

				
			

			

				

					Jepson的博客
				

				

					10-22
					
					2359
					
				

			

		

		

			
				
logstash@timestamp转化时间戳
在 logstash.conf 配置文件的 filter 模块添加以下代码:
ruby{
    code => "event.set('unix_ms_time',(event.get('@timestamp').to_f.round(3)*1000).to_i)"   #毫秒时间戳
}

上述配置后,会在日志增加一个新的字段,字段名为 unix_ms_time,该字段为毫秒时间戳,如果想改时间戳,需以下代码:
ruby{
    co

			
		

	





	

		

			

				
					
Docker日志自动化:ElasticSearch、Logstash

				
			

			

				

					01-30
				

			

		

		

			
				
本文主要介绍了如何使用ElasticSearch、Logstash、Kibana和Logspout技术栈来部署自动化的日志系统。 You,too,couldLogstash.快速念五遍这个题目!不过说实话,我其实并不确定该给这篇文章起个什么样的名字才能确保...

			
		

	





	

		

			

				
					
resque-logstash:用于在 logstash 记录作业持续时间的 Resque 插件

				
			

			

				

					06-19
				

			

		

		

			
				
Resque::Logstashlogstash 记录 resque 作业的持续时间。 目前仅支持 redis 传输。 取决于 Resque 1.24安装将此行添加到应用程序的 Gemfile : gem 'resque-logstash'然后执行: $ bundle或者自己安装: $ ...

			
		

	





	

		

			

				
					
小型研发团队架构实践:集日志ELK

				
			

			

				

					02-25
				

			

		

		

			
				
日志可分为系统日志、应用日志以及业务日志,系统日志给运维人员使用,应用日志给研发人员使用,业务日志给业务作人员使用。我们这里主要讲解应用日志,通过应用日志来了解应用的信息和状态,以及分析应用错误发生...

			
		

	





	

		

			

				
					
logstash时间戳转换

				
			

			

				

					小龙在线
				

				

					12-11
					
					2万+
					
				

			

		

		

			
				
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。

			
		

	





	

		

			

				
					
logstash如何将日志字符串类型时间转化@timestamp

					
热门推荐

				
			

			

				

					桃花惜春风
				

				

					09-13
					
					3万+
					
				

			

		

		

			
				
在ELK组合我们在outputs/elasticsearch常用的%{+YYYY.MM.dd}来创建索引,而这种写法是必须要读@timestamp这个字段的。默认情况下@timestamp字段显示的是当前时间,但我们可能需要记录的是日志字符串类型时间,所以我们需要把日志字符串类型时间覆盖掉@timestamp的当前时间。

创建配置文件 code.conf
input  {

			
		

	





	

		

			

				
					
logstash 处理各种时间格式

				
			

			

				

					weixin_30767835的博客
				

				

					10-22
					
					1141
					
				

			

		

		

			
				
tomcat access日志:
{
            "@version" => "1",
          "@timestamp" => "2016-10-22T12:58:07.000Z",
                "path" => "/data01/applog_backup/zjzc_log/zj-api-access01.2016-10-2...

			
		

	





	

		

			

				
					
Logstash学习4_Logstash如何将日志字符串类型时间转化@timestamp

				
			

			

				

					wang_zhenwei的博客
				

				

					11-10
					
					1万+
					
				

			

		

		

			
				
问题描述
将类似于:2015/8/26 12:05:00:000000
的数据转化:2015-08-26T04:05:00.000Z
背景
目标:
将日志字符串类型时间格式转化@timestamp

方法:
首先由于日志的格式有很多种,Logstash自带的正则表达式可能不满足我们的需求,但是我们可以通过grok插件引入自己定义的正则表达式。


具体步骤:

			
		

	





	

		

			

				
					
logstash date插件设置日期格式正确,但是在elasticsearch一直不是date类型

				
			

			

				

					QYHuiiQ
				

				

					03-06
					
					2069
					
				

			

		

		

			
				
[19/Feb/2020:03:53:09 -0500]


date{
    match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]
    target => "@http_timestamp"
}




			
		

	





	

		

			

				
					
logstash使用之日期处理

				
			

			

				

					落叶下的光
				

				

					11-24
					
					1万+
					
				

			

		

		

			
				
概述日期插件Date filter plugin用于对logstash接收到的字段的日期进行处理,可以使用处理后的日期作为logstash的timestamp.日期进行处理后,可以在kibana用于统计和分析.参考logstash帮助文档简单使用input{
        stdin{
        }
}
filter{
    date{
        match => ["messa

			
		

	





	

		

			

				
					
logstash 各种时间转换

				
			

			

				

					zhaoyangjian724的专栏
				

				

					09-21
					
					2万+
					
				

			

		

		

			
				
2016-09-21 19:10:01,538 INFO com.zjzc.common.utils.HttpUtil - 返回结果:retCode=0000,返回值: {"data":{"orderNo":"2016092119061427857473cba55d544c","cardNo":"6226690800882527","status":3},"enableModify":true,"

			
		

	





	

		

			

				
					
logstash关于date时间处理的几种方式总结

				
			

			

				

					weixin_34235457的博客
				

				

					03-19
					
					2505
					
				

			

		

		

			
				
1、第一种,直接在配置文件自定义时间格式

这是tomcat配置文件的一段日志时间配置,按照这样的配置,那么输出的日志是这样子的:

然后你继续在logstash这样子配置

此时logstash就不会报"_dateparsefailed"错误了。
这种形式在nginx、apache等web服务器配置是最好的,也比较方便分析。
2、第二种,带有括号的(其实跟上面是一回事)...

			
		

	





	

		

			

				
					
logstash @timestamp时间时区的问题

					
最新发布

				
			

			

				

					05-24
				

			

		

		

			
				
Logstash@timestamp字段默认情况下是UTC时间,但可以使用date过滤器来将其转换为本地时区。  以下是一个示例配置文件,其使用date过滤器将@timestamp转换为美国洛杉矶时区:  ``` input {  # 输入数据源 }  ...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值