Я анализирую журналы Nginx в logstash со следующей конфигурацией:
input { stdin { type => "nginx"}}
filter {
grok {
type => nginx
pattern => "%{COMBINEDAPACHELOG}"
}
date {
type => nginx
match => [
"timestamp",
"dd/MMM/YYYY:HH:mm:ss Z"
]
}
}
output { stdout { debug => true debug_format => "ruby"}}
Только вот проблема: когда я передаю журнал с @timestamp
of «04 / Sep / 2012: 12: 44: 16 -0500» Я получаю (как временную метку результата) «2013-09-04T17: 44: 16.000Z». Не тот год. Это ошибка?
Из документация как связано с документация logstash вы выбрали неправильный синтаксис в фильтре даты. Попробуйте использовать yyyy (год) вместо YYYY (год эры), я считаю, что это должно исправить проблему, о которой вы сообщаете.
Надеюсь, это поможет!