如何删除系统日志输出插件的logstash添加的额外时间戳

ztigrdn8 于 2022-10-06 发布在 Logstash

关注(0)|答案(1)|浏览(186)

我正在使用logstash管道将数据接收到rsyslog服务器。

但管道在一开始就增加了额外的时间戳。

示例消息：

Sep 22 04：47：2022-09-2022年05：47：20.875 a7bd0ebd9101-SLOT0 e1d1e#011970507 P 201059147698 e1d1e

但我没有得到从输出中删除时间戳的配置。

时间戳已经作为消息的一部分出现了，这就是我需要显示的全部内容。

数据来自安装在ECS容器上的AWS CloudWatch。

管道配置为：

input  { pipeline { address => test_syslog } }

filter {

if [owner] == "1638134254521"  { 
   mutate { add_field  =>  { "[ec_part]" => "AWS_TEST"} }

  } 
}

    output {
    #TEST ACTIVITY Logs being sent via TCP to Logreceiver
      if [ec_part] == "AWS_TEST" {
      syslog {
        appname => ""
        sourcehost =>""
        host => "10.119.140.206"
        port => "10514"
        protocol => "ssl-tcp"
        ssl_cacert => "/etc/logstash/ca.crt"
        ssl_cert => "/etc/logstash/server.crt"
        ssl_key => "/etc/logstash/server.key"
        priority => "info"
        rfc => "rfc5424"
        codec => plain { format => "%{message}" }
      }
      }
    }

elasticsearch

来源：https://stackoverflow.com/questions/73876545/how-to-remove-extra-timestamp-added-by-logstash-for-syslog-output-plugin

1条答案

按热度按时间

mbjcgjjk1#

您可以将Logstash中的mutate filter与gsub一起使用，它将替换启动中的日期。

filter {
      mutate {
        gsub => [
          "message", "^\w{3,4} \d{2} \d{2}:\d{2}:\d{2}\s+", ""
        ]
      }
    }

**PS：**我还没有测试过这个配置，但大多数情况下，只要稍加改动就可以了。您可以根据您的需求和数据更新正则表达式。

赞(0）回复(0）举报 2022-10-06

我来回答

如何删除系统日志输出插件的logstash添加的额外时间戳

1条答案

相关问题

热门标签

最新问答