我的 tomcat 访问日志的最后一个字段是“%D - 处理请求所用的时间,以毫秒为单位”。我试图过滤花费超过一定毫秒数的日志,但结果显示所有日志,我尝试按照 lucene 的“范围搜索”进行操作http://lucene.apache.org/core/2_9_4/queryparsersyntax.html
尝试以下过滤查询:timetaken:[1000 TO *] timetaken:[1000 TO 5000] timetaken:['1000' TO *]
答案1
默认情况下,logstash 将所有输入作为字符串,并在我想要的数字字段中添加“:int”。例如 %{NUMBER:apache_bytes:int} %{NUMBER:apache_response_time:int}
参考:https://groups.google.com/forum/#!topic/logstash-users/2ewrcovttSY