如何从IIS日志中正确设置Logstach中的时间戳

乔恩

我正在尝试使用logstash解析iis日志文件并将其发送到elasticsearch。

我有以下日志行

2014-02-25 07:49:32 172.17.0.96 GET /config/integration - 80 - 172.17.28.37 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/33.0.1750.117+Safari/537.36 401 2 5 15

并使用以下过滤器:

filter {
    if [message] =~ "^#" {
    drop {}
  }

  grok {
    match => ["message", "%{TIMESTAMP_ISO8601} %{IP:host_ip} %{URIPROTO:method} %{URIPATH:path} (?:-|%{NOTSPACE:uri_query}sern) %{NUMBER:port} %{NOTSPACE:username} %{IP:client_ip} %{NOTSPACE:useragent} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:scstatus} %{NUMBER:timetaken}"]
  }
  date {
     match => ["logtime", "YYYY-MM-dd HH:mm:ss"]  
  } 
}

一切都正确解析,但结果@timstamp字段是我运行解析的时间,而不是日志事件的时间。当我查看日志事件时,这将导致所有日志事件最终都堆积在一起。我希望@timestamp是实际事件的时间。

我究竟做错了什么?

本林

首先,您可以在grok中指定一个日志时间字段。然后,您使用日期筛选器将日志时间解析为@timestamp。@timestamp将更新为日志时间。例如,

filter {
    if [message] =~ "^#" {
        drop {}
    }

    grok {
        match => ["message", "%{TIMESTAMP_ISO8601:logtime} %{IP:host_ip} %{URIPROTO:method} %{URIPATH:path} (?:-|%{NOTSPACE:uri_query}sern) %{NUMBER:port} %{NOTSPACE:username} %{IP:client_ip} %{NOTSPACE:useragent} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:scstatus} %{NUMBER:timetaken}"]
    } 
    date {
         match => ["logtime", "YYYY-MM-dd HH:mm:ss"]  
    }
}

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

如何根据访问日志行中存在的时间戳使jmeter执行日志重播

来自分类Dev

Notepad ++中的语法突出显示:如何突出显示日志文件中的时间戳

来自分类Dev

如何在UTC时区中设置Rails日志时间戳?

来自分类Dev

设置debian系统日志时间戳为系统日期

来自分类Dev

在Docker Compose日志中打印时间戳

来自分类Dev

在R中正确设置时间序列的问题

来自分类Dev

如何为MySQL变量设置时间戳?

来自分类Dev

如何在Activity中正确设置CountDownTimer

来自分类Dev

如何在python中设置protobuf时间戳字段?

来自分类Dev

如何在Flutter中正确设置onPressed?

来自分类Dev

如何在jboss日志记录的模式格式化程序中自定义时间戳

来自分类Dev

如何从Unix时间戳设置系统时间

来自分类Dev

如何正确生成时间戳

来自分类Dev

如何在gvim中正确设置PATH?

来自分类Dev

如何正确显示QT上的时间戳?

来自分类Dev

如何在MySQL时间戳中设置时间?

来自分类Dev

如何在模型文件中的插入上设置时间戳

来自分类Dev

如何在elasticsearch中将日志中的时间设置为主@timestamp

来自分类Dev

如何每隔x分钟和日志中的时间戳执行一次ping操作?

来自分类Dev

如何正确设置当前时间戳到此Java CRUD方法中,该方法将值插入MySql表中?

来自分类Dev

在Bash中,您将如何只读取超过特定时间戳的日志中的行?

来自分类Dev

如何在Boch中正确设置断点

来自分类Dev

如何为MySQL变量设置时间戳?

来自分类Dev

C#中缓存的正确时间戳

来自分类Dev

如何在列表项中正确放置时间戳?

来自分类Dev

如何在 ReactJS 中正确设置 localStorage?

来自分类Dev

Django+Gunicorn 不正确的日志时间戳

来自分类Dev

如何从包含时间戳的日志文件中获取日期值

来自分类Dev

在客户记录日志中,如何找到非唯一标识符组合的最新时间戳?

Related 相关文章

  1. 1

    如何根据访问日志行中存在的时间戳使jmeter执行日志重播

  2. 2

    Notepad ++中的语法突出显示:如何突出显示日志文件中的时间戳

  3. 3

    如何在UTC时区中设置Rails日志时间戳?

  4. 4

    设置debian系统日志时间戳为系统日期

  5. 5

    在Docker Compose日志中打印时间戳

  6. 6

    在R中正确设置时间序列的问题

  7. 7

    如何为MySQL变量设置时间戳?

  8. 8

    如何在Activity中正确设置CountDownTimer

  9. 9

    如何在python中设置protobuf时间戳字段?

  10. 10

    如何在Flutter中正确设置onPressed?

  11. 11

    如何在jboss日志记录的模式格式化程序中自定义时间戳

  12. 12

    如何从Unix时间戳设置系统时间

  13. 13

    如何正确生成时间戳

  14. 14

    如何在gvim中正确设置PATH?

  15. 15

    如何正确显示QT上的时间戳?

  16. 16

    如何在MySQL时间戳中设置时间?

  17. 17

    如何在模型文件中的插入上设置时间戳

  18. 18

    如何在elasticsearch中将日志中的时间设置为主@timestamp

  19. 19

    如何每隔x分钟和日志中的时间戳执行一次ping操作?

  20. 20

    如何正确设置当前时间戳到此Java CRUD方法中,该方法将值插入MySql表中?

  21. 21

    在Bash中,您将如何只读取超过特定时间戳的日志中的行?

  22. 22

    如何在Boch中正确设置断点

  23. 23

    如何为MySQL变量设置时间戳?

  24. 24

    C#中缓存的正确时间戳

  25. 25

    如何在列表项中正确放置时间戳?

  26. 26

    如何在 ReactJS 中正确设置 localStorage?

  27. 27

    Django+Gunicorn 不正确的日志时间戳

  28. 28

    如何从包含时间戳的日志文件中获取日期值

  29. 29

    在客户记录日志中,如何找到非唯一标识符组合的最新时间戳?

热门标签

归档