Блог

Плагин Elapse, используемый в ELK для определения разницы во времени, использует только @timestamp по умолчанию (когда журнал поступает в ES) или мы можем настроить log_time (временную метку из журнала)?

Мое требование — найти разницу во времени между двумя журналами, которая не вводится в режиме реального времени для эластичного поиска.

В настоящее время у меня нет журналов, чтобы проверить это, поэтому будет здорово получить быстрый ответ. Заранее спасибо.

Не уверен, что понимаю, но похоже, что в документах, которые вы индексируете, есть поле с именем ‘log_time’, но когда вы индексируете эти документы, добавляется поле ‘@timedtamp’, в котором указано другое время.

В этом случае для вас есть два варианта, оба будут принимать значение для ‘log_type’ и копировать его в поле @timestamp во время индексации.

Либо используйте фильтр даты logstashhttps://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html

или используйте конвейер ES ingest с обработчиком даты: https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html