时间戳
编辑时间戳
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能的支持服务水平协议 (SLA) 的约束。
timestamp 处理器从字段中解析时间戳。默认情况下,时间戳处理器将解析结果写入 @timestamp 字段。可以通过设置 target_field 参数来指定不同的字段。时间戳值根据 layouts 参数进行解析。可以指定多个布局,它们将按顺序使用来尝试解析时间戳字段。
此处理器使用的时间戳布局与 Logstash 和 Elasticsearch Ingest Node 中支持的日期处理器格式不同。
layouts 使用基于此特定时间的参考时间进行描述
Mon Jan 2 15:04:05 MST 2006
由于 MST 为 GMT-0700,参考时间为
01/02 03:04:05PM '06 -0700
要定义自己的布局,请以与您预期解析的时间戳匹配的格式重写参考时间。有关更多布局示例和详细信息,请参阅 Go 时间包文档。
如果布局不包含年份,则将指定的 timezone 中的当前年份添加到时间值。
示例
编辑以下示例解析 start_time 字段并将结果写入 @timestamp 字段,然后删除 start_time 字段。加载处理器时,它将立即验证这两个 test 时间戳是否使用此配置进行解析。
- timestamp:
field: start_time
layouts:
- '2006-01-02T15:04:05Z'
- '2006-01-02T15:04:05.999Z'
- '2006-01-02T15:04:05.999-07:00'
test:
- '2019-06-22T16:33:51Z'
- '2019-11-18T04:59:51.123Z'
- '2020-08-03T07:10:20.123456+02:00'
- drop_fields:
fields: [start_time]
配置设置
编辑Elastic Agent 处理器在摄取管道之前执行,这意味着您的处理器配置不能引用由摄取管道或 Logstash 创建的字段。有关更多限制,请参阅 使用处理器的某些限制是什么?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
是 |
包含要解析时间的源字段。 |
|
|
否 |
|
解析时间值的目標字段。目标值始终以 UTC 写入。 |
|
是 |
定义预期时间值格式的时间戳布局。此外,还接受 |
|
|
否 |
|
IANA 时区名称(例如, |
|
否 |
|
是否忽略源字段缺失时的错误。 |
|
否 |
|
是否忽略处理器产生的所有错误。 |
|
否 |
加载处理器时必须成功解析的时间戳列表。 |
|
|
否 |
此处理器实例的标识符。对调试很有用。 |