Question

Плагин Elapse, используемый в ELK для определения разницы во времени, использует только @timestamp по умолчанию (когда журнал загружается в ES), или мы можем настроить на log_time (метка времени из журнала)?

MyТребуется найти разницу во времени между двумя журналами, которая не вводится в реальном времени для упругого поиска.

В настоящее время у меня нет журналов, чтобы проверить это, поэтому будет здорово получить быстрый ответ.Заранее спасибо.

ziv · Answer 1 · 07 марта 2019

Не уверен, что я понимаю, но похоже, что у документов, которые вы индексируете, есть поле с именем 'log_time', но когда вы индексируете эти документы, оно добавляет поле '@timedtamp', в котором есть другое время.

Если это так, у вас есть два варианта, оба примут значение для 'log_type' и скопируют его в поле @timestamp во время индекса.

Либо используйте фильтр даты logstash https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html

, либо используйте конвейер загрузки ES с процессором даты: https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html

Плагин эластичного поиска Elapse для разницы во времени регистрации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Плагин эластичного поиска Elapse для разницы во времени регистрации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы