В моих журналах доступа tomcat последнее поле указано как «% D - время, затраченное на обработку запроса, в миллисекундах». Я пытаюсь отфильтровать журналы, которые заняли больше, чем некоторое количество миллисекунд, но в результате отображаются все журналы, я пытаюсь в соответствии с lucene «Поиск диапазона» http://lucene.apache.org/core/2_9_4/queryparsersyntax.html
Испытываются следующие фильтрующие запросы: timetaken: [1000 TO *] timetaken: [1000 TO 5000] timetaken: ['1000' TO *]
По умолчанию logstash принимает весь ввод в виде строки, добавляя ": int" к полям, которые я хотел использовать как число. например. % {NUMBER: apache_bytes: int}% {NUMBER: apache_response_time: int}
Ссылка: https://groups.google.com/forum/#!topic/logstash-users/2ewrcovttSY