使用Logstash将日志解析为Elasticsearch然后使用Kibana进行可视化时,时间戳的最合适名称是什么?
我在过滤器中使用日期定义时间戳:
date {
match => [ "logtime", "yy-MM-dd HH:mm:ss" ]
}
Logstash会自动将其放入
@timestamp字段。可以将Kibana配置为使用任何格式正确的字段作为时间戳,但是在Elasticsearch中使用_timestamp似乎是正确的。为此,您必须更改并重命名datestamp字段。mutate {
rename => { "@timestamp" => "_timestamp" }
}
这有点烦人。
这个问题可能完全是语义上的-但是使用
_timestamp是否最正确,还是使用@timestamp很好?还有其他考虑因素会影响timestamp字段的命名吗? 最佳答案
Elasticsearch允许您定义下划线开头的字段,但是,Kibana(从v4开始)将仅显示在_source文档外部声明的字段。
您绝对应该保留@timestamp,这是在Logstash中命名时间戳字段的标准方法。 Kibana不允许您使用_timestamp。
关于elasticsearch - ELK最合适的时间戳名称_或@,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/38842517/