2016-08-04 138 views
0

我的日誌模式是這樣解析只有日期部分沒有時間logstash

other|vandana|test|20160804100203 

最後一個日期2016 08 04 10 02 03我創建了有最後的值field = 20160804100203現在我想一個新的領域,只有具備一個場日期部分沒有時間意味着它應該是fieldnew = 20160804我試過,但它不工作

date{ 
match => ['field','MMM dd YYY'] 
} 
+0

你可以使用正則表達式 – yash

+0

我已經嘗試mutate {}和add_field在裏面,但它正在使用正則表達式作爲字符串,你可以編寫代碼 – vandy

回答

1

隨着ruby過濾器:

filter { 
    ruby { 
    code => "event['fieldnew'] = event['field'][0..7]" 
    } 
}