Существует ли какой-либо предопределенный шаблон даты Grok для [Четверг 13, 16:05:57 IST 2018]

Question

У меня есть журнал ниже:

[Чт 13 декабря 16:05:57 IST 2018] * Запуск вызова Tomcat

Я пробовал ниже даты скороговорку, но не получилуспех:

\[%{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZ} %{YEAR}\] %{DATESTAMP_OTHER:timestamp} %{TIMESTAMP_ISO8601:timestamp} %{HTTPDERROR_DATE:timestamp}

Есть ли какой-либо предопределенный шаблон даты, который нужно проанализировать над строкой?

Answer 1

DATESTAMP_OTHER имеет все компоненты в правильном порядке, но, как вы обнаружили, не совпадает с предоставленным вами примером ввода.

Причина в том, что TZ (используетсяв DATESTAMP_OTHER) не совпадает IST:

TZ (?:[APMCE][SD]T|UTC)

Они обсуждают проблему уже более двух лет.

Для локального использования:Вы можете добавить 'I' в шаблон:

TZ (?:[APMCEI][SD]T|UTC)

, что также позволит использовать IDT, или добавить его явно:

TZ (?: [APMCE] [SD] T | UTC |IST)