我正在使用以下配置将 Nginx 日志解析到 logstash:
input { stdin { type => "nginx"}}
filter {
grok {
type => nginx
pattern => "%{COMBINEDAPACHELOG}"
}
date {
type => nginx
match => [
"timestamp",
"dd/MMM/YYYY:HH:mm:ss Z"
]
}
}
output { stdout { debug => true debug_format => "ruby"}}
但问题是:当我传入一个带有@timestamp“04/Sep/2012:12:44:16 -0500”的日志时,我得到的(作为结果时间戳)是“2013-09-04T17:44:16.000Z”。年份不对。这是个 bug 吗?
答案1
来自文档链接至logstash 文档您在日期过滤器中选择了错误的语法。请尝试使用 yyyy(年份)而不是 YYYY(纪元年份),我相信这应该可以解决您报告的问题。
我希望这能有所帮助!