今天格式化一个日志,日期不好取,分成了两个字段。
后来date又支持一个字段
date {
match => ["time", "yyyy-MM-dd HH:mm:ss.SSS" ]
}
mutate的merger没用,时把两个字段合成数组了。
最后找到了方案,用alter
alter{
add_field => { "fullTime" => "%{day} %{time}" }
}
然后日期完美转换
date {
match => ["fullTime", "yyyy-MM-dd HH:mm:ss.SSS" ]
}
