在logstash中,默认会有一个时间字段,用于记录当前收集日志的时间戳,正常情况下没什么问题。当第一次收集日志,或者使用缓存写入的时候,就会发现timastamp会和实际的时间发生偏差。
那么我建议最好使用日志中的时间,转化为logstash的timestamp。
在filter中加入
date { match => ["timeLocal": "dd/MMM/yyyy:HH:mm:ss Z"] }
免责声明!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。