logstash Filter: Verwenden Nachricht Zeitstempel in @timestamp Feld

Question

derzeit sieht mein doc wie diese (rubydebug Ausgabe):

{ 
     "Timestamp" => 2016-06-20 12:51:14 UTC, 
     "EventDate" => 2016-06-20 12:51:10 UTC, 
     "Message" => "Failed to create the specified culture en-AF.", 
     "ProcessId" => 660, 
     "ProviderId" => "92bd94ca-02d2-5632-8907-3c6321d43fca", 
    "ProviderName" => "epicuro", 
      "Task" => 63133, 
     "ThreadId" => 5100, 
     "Version" => 0, 
     "@version" => "1", 
     "@timestamp" => "2016-06-20T12:51:57.706Z", 
      "type" => "epicuroLogs", 
      "@id" => "epicuro.Api_2519358737299533641_FFFFFFFB" 
} 

ich die Daten aus dem „Timestamp“ Feld als Daten für das „@ verwenden möchten Timestamp ", aber ich kann nicht herausfinden, wie es geht. Es sieht so aus, als ob @timestamp eine Zeichenfolge benötigt, aber Timestamp ist eine Art von Objekt? (Beachten Sie die fehlenden Zitate). Der Datumsfilter erwartet eine Zeichenfolge als Eingabe von dem, was ich sagen kann.

Wie mache ich das?

Answer 1

Vielleicht können Sie dies versuchen. Hoffe es ist was du willst.

date { 
    match => [ "Timestamp" , "yyyy-MM-dd HH:mm:ss"] 
    timezone => "UTC" 
}