Logstash пользовательский матч формат даты журнала

Question

У меня есть этот журнал, печать формат даты, который выглядит следующим образом:

=   Build Stamp: 10:45:33 On Apr 4 2014   = 

Так я запустить фильтр на ГРОК отладчик, но все еще невежественный о том, как удалить слово На

grok { 
patterns_dir => "./patterns" 
match => { "message" => "%{F_TIMESTAMP:timestamp}" } 
} 

date { 
match => [ "timestamp" , "HH:mm:ss MMM d yyyy" , "HH:mm:ss MMM dd yyyy" ] 
locale => "en" 
} 

шаблон файла,

F_TIMESTAMP %{TIME} \On %{MONTH} +%{MONTHDAY} %{YEAR} 

Мой выходной ток для отметки времени будет

10:45:33 На 4 апреля 2014 года на ГРОК отладчика.

Тогда как я могу сделать его совместимым/совпадающим с logstash @timestamp?

Answer 1

Вы можете извлечь каждую часть даты и объединить в другое поле без ключевого слова On.

Вы можете достичь этого следующее:

filter { 
    grok {   
     match => { "message" => "%{F_TIMESTAMP}" } 
    } 
    mutate { 
     add_field => { 
      "timestamp" => "%{time} %{month} %{monthday} %{year}" 
     } 
    } 
    date { 
     match => [ "timestamp" , "HH:mm:ss MMM d yyyy" , "HH:mm:ss MMM dd yyyy" ] 
     locale => "en" 
    } 
    mutate { 
     remove_field => [ "time" ,"month","monthday","year","timestamp"] 
    } 
} 

F_TIMESTAMP %{TIME:time}\s*On\s*%{MONTH:month}\s*%{MONTHDAY:monthday}\s*%{YEAR:year}

Сво работает нормально для меня.