Дата/время анализа Logstash

У меня есть следующее, что я пытаюсь разобрать с помощью GROK:

Hello|STATSTIME=20-AUG-15 12.20.03.051000 PM|World

Я могу проанализировать первую группу с помощью GROK следующим образом:

match => ["message","%{WORD:FW}\|STATSTIME=%{MONTHDAY:MDAY}-%{WORD:MON}-%{INT:YY} %{INT:HH}"]

Все, что дальше этого, дает мне ошибку. Я не могу понять, как заключать в кавычки символ :, : не работает и %{TIME:time} не работает. Я хотел бы иметь возможность получить все это как временную метку, но не могу разбить ее. Любые идеи?


logstash logstash-grok
person mikeb    schedule 08.09.2015    source источник
comment
В вашем примере используется . (точка) для разделения час/минута/сек, но в вашем повествовании говорится о: (двоеточие). Что он?   -  person Alain Collins    schedule 09.09.2015
comment
Господи, я увидел : и продолжал делать это.   -  person mikeb    schedule 09.09.2015

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете использовать это для отладки выражений grok.

Формат времени показан здесь

Чтобы разобрать 12.20.03.051000

%{INT:hour}.%{INT:min}.%{INT:sec}.%{INT:ms}

Вывод будет примерно таким

{
"hour": [
      [
      "12"
      ]
 ],
"min": [
     [
      "20"
     ]
 ],
"sec": [
    [
     "03"
    ]
],
"ms": [
    [
   "051000"
    ]
 ]
}
person Sacred Wizard    schedule 31.10.2015