logging - _grokparsefailure - logstash grok message
Formateo de Grok para una marca de tiempo personalizada (1)
La marca de tiempo que mencionó puede coincidir con Logstash con el patrón TIMESTAMP_ISO8601 .
filter {
grok {
match => ["message", "%{TIMESTAMP_ISO8601:timestamp_match}"]
}
}
Puede probar esto en Grok Debugger ingresando 2015-03-13 00:23:37.616 y %{TIMESTAMP_ISO8601:timestamp_match}
Probablemente desee coincidir con un nombre de campo diferente, pero esa es la idea básica.
Los patrones incorporados se pueden encontrar en la documentación de Logstash , o en GitHub .
2015-03-13 00:23:37.616
Intento utilizar grok para formatear el siguiente formato de fecha. Yo he tratado:
SYSLOGTIMESTAMP, DATESTAMP_EVENTLOG, DATESTAMP_RFC2822
sin éxito ¿Alguien puede arrojar algo de luz?