logstash将两个field字段合并成一个field字段方法

21 04月

作者:admin|分类:大数据

logstash将两个field字段合并成一个field字段方法

格式化一个日志，日期不好取，分成了两个字段。

后来date又支持一个字段

date {

match => ["time", "yyyy-MM-dd HH:mm:ss.SSS" ]

}

mutate的merger没用，时把两个字段合成数组了。

最后找到了方案，用alter

alter{

add_field => { "fullTime" => "%{day} %{time}" }

}

然后日期完美转换

date {

match => ["fullTime", "yyyy-MM-dd HH:mm:ss.SSS" ]

}

原文链接：https://blog.csdn.net/u011870280/article/details/80019976

更多文章推荐

04月

浏览723 评论0

返回
目录返回
首页