У меня есть приведенный ниже журнал
1 iCEXnXWuShGYRlDbHEADlQ 1 3 sara482 1573151463576 1,5 13,8 0,0 0 0 62,6 ||
мой шаблон Грока ниже
«сообщение», «% {NUMBER: log_Level} (? [^ \ S] +)% {NUMBER: mcty}% {NUMBER: agty} (? [^ \ S] +)% {INT: ts}% {NUMBER: процессор}% {NUMBER: mem}% {NUMBER: swap}% {NUMBER: diskr}% {NUMBER: diskw}% {NUMBER: diskc} \ | \ |% {GREEDYDATA: appc} "
Как я могу податьТак как @timestamp, в настоящее время, если я проверяю сопоставления полей для индекса, эти журналы хранятся в Elastic Search, поле ts отображается как строка, я могу изменить остальные поля как Num / Float, однако только поле ts я не являюсьвозможность конвертировать или сопоставлять как @ timestamp.
Я попытался преобразовать поле как UNIX / UNIX_MS, однако мой logstash ломается, если я пытаюсь отобразить его на любую вещь, кроме NUM / INT