Вы должны использовать фильтр соответствия:
Массив с именем поля первым и шаблонами форматирования после [field, format ...]
Если у вашего поля времени есть несколько возможных форматов , вы можете сделать это:
match => [ "logdate", "MMM dd yyyy HH:mm:ss",
"MMM d yyyy HH:mm:ss", "ISO8601" ]
Приведенное выше будет соответствовать метке времени системного журнала (rfc3164) или iso8601.
Все, что вам нужно сделать, это поместить свой формат вместо одного из вышеперечисленных .
Вы можете прочитать об этом здесь