Logstashで日付をUNIX時刻に変換する

Question

Logstashの "2016-08-22T09：09：55.487Z"形式からUNIX時刻に変換することはできますか？私は反対の操作を見てきましたが、それについては何もしていません。

Answer 1

まず、あなたは日付フィルタで、日付オブジェクトに"2016-08-22T09:09:55.487Z"を変換する必要があります：
は この時点で

date { 
    match => ["date", "ISO8601"] 
    target => "date_object" 
} 

（フィールドdateが有効ISO8601タイムスタンプを表す文字列が含まれていることを想定します）ログスタッシュのタイムスタンプを含むフィールドdate_objectが表示されます。 このタイムスタンプは、to_iメソッドを使用して、対応するエポックに変換できます。
これを行うには、ルビーコードをフィルタとして実行できるようにするルビフィルタを使用する必要があります。

ruby {  
    code => "event['date_epoch'] = event['date_object'].to_i" 
}   

次に、date_epochというフィールドがあります。これは、UNIXの時刻を表す数字になります。

Answer 2

今日も同様の問題が発生しました。

ルビ{
コード=>「イベント[ 『date_epochを』] =イベント[ 『date_object』]：残念ながら、上記設定の平和は、整数変換時のタイムスタンプからミリ秒を失うという制限を有しています.to_i」
}

私は戻って、文字列に、その後、フロートする日付オブジェクトを変換する1000年を掛けるとを含むいくつかのオプションを試してみました。要するに、精度はまったく同じではありませんでした。

最後に、私はこれ以下のビットハックのサンプルを思いついた。これはlogstashバージョン2.4.1で動作しました。 、Rubyコードの平和は、標準的なルビーDateTime書式に文字列をキャストする

mutate{ 
add_field => ["tmpTimestamp","%{@timestamp}"] 
} 

（エポック形式に変換： だから最初に私は、プレーン文字列に解析されたタイムスタンプを変換するために、フィールドtmpTimestampを作成しますStringに当時のMSを含む）と：

ruby { code => "require 'date';event['epoch'] = DateTime.parse(event['tmpTimestamp']).strftime('%Q').to_s" } 

は、未使用のTMP変数を削除します。

mutate{ 
remove_field => ["tmpTimestamp"] 
}