@ elasticstate字段未在elasticsearch中標識

Question

我正在通過rsyslog將一些舊日誌推送到elasticsearch。

這裏是日誌條目之一，

[START] --- [xx.xx.xx.xx] --- [25/Jun/2017:06:39:54 +0530] --- "Headers: [-, -, -, -, -, -]" --- "POST /infotrack HTTP/1.1" --- 200 --- 0.310 --- "-" --- "Java/1.8.0_121" --- "application/x-www-form-urlencoded" --- "-" --- [END] 

日誌是成功的elasticsearch內可見kibana。

但@timestamp未被識別。在kibana中添加索引時，時間字段不顯示。

這裏有什麼問題？

我已經使用在其他指標相同的格式時間戳，並沒有出現造成任何問題。

Answer 1

您是否通過Logstash將這些Nginx日誌編入索引？ 請向我們展示Logstash過濾器配置或您爲elasticsearch @timestamp字段指定的映射。

最有可能你定義在Logstash CONF或Elasticsearch映射一個錯誤的日期格式，提供例如25/Jun/2017:06:39:54 +0530似乎不適合任何built in format，所以你可能要定義一個custom one。