Parsing eines Datumsfelds in logstash zu elastischer Suche

Question

Ich versuche, Protokolldateien von IIS zu dem ELK-Stapel zu analysieren (Logstash: 2.3, Elastic: 2.3 und Kibana: 4.5, CentOS 7 vm).

Ich habe versucht, ein Datumsfeld aus der Log-Nachricht als Ereignis Zeitstempel zu analysieren mit dem Datumsfilter unten in meiner logstash Konfiguration:

date { 
    match => ["date_timestamp", "yyyy-MM-dd HH:mm:ss"] 
    timezone => "Europe/London" 
    locale => "en" 
    target => "@timestamp" 
} 

die ersten Buchstaben der gesamten Protokollmeldung, die analysiert wurde Elastic Suche ist:

"message": "2016-03-01 03:30:49 ......... 

Das Datumsfeld oben auf Elasticsearch wie analysiert wurde:

"date_timestamp": "16-03-01 03:30:49", 

jedoch das Ereignis Zeitstempel, der oben auf Elastic Suche mit dem Datumsfilter analysiert wurde, ist: 30:

"@timestamp": "0016-03-01T03:32:04.000Z", 

ich die @timestamp genau 2016-03-01T03 sein mag 49, da ich nicht kann Finde sofort heraus, warum es einen Unterschied zwischen Stunden und Minuten gibt.

Ich habe bei ähnlichen Problemen und Dokumentationen wie this one on SO und dieses auf logstash documentation und logstash documentation. sah

Jeder Zeiger in der richtigen Richtung geschätzt wird.

Grüße

SO

Answer 1

in Ihrem date_timestamp Sie haben nur 2 Zeichen für das Jahr: " -03-01 03.30.49", so das Datum Muster in Ihrem date Filter ist falsch sein sollte:

date { 
    match => ["date_timestamp", "yy-MM-dd HH:mm:ss"] 
    timezone => "Europe/London" 
    locale => "en" 
    target => "@timestamp" 
}