graylog 默認的 時間戳 是 日誌 導入 graylog 的 時間,這可能和 日誌中的 時間 不相同,這時候我們需要將 日誌中的 時間 匹配出來,作爲查詢的條件,然而通過 grok pattern 表達匹配出來的 字段 保存的 格式 是 字符串的 形式的 ,不能進行 時間 範圍的 查詢,這時候就需要 另一種 匹配方法了。
具體 步驟 :
搜出你要分析的日誌,然後選中 你要轉換的字段 ,然後 選擇 Regular Express
進入 正則表達式 匹配界面:
在Regular expression 中 匹配 出 我們 需要轉換的時間 。(這裏有一個坑啊,正則表達式的匹配的前後 都要加"()",匹配的每一項 都要加上,最後面 需要加上 匹配次數)
下面 給一個 匹配的demo
時間 匹配出來 之後 需要 按照 匹配出來的 時間·格式 進行 轉換。
eg:
例如 我匹配 出來是 "Sep 24 2019 16:48:53" 則 我自己 則需要 按照 匹配出來的進行 格式化 "MMM dd yyyy HH:mm:ss " 年月日 都要 對上 ,然後 ,之後 通過 該條策略的日誌 都會 進行 格式的 轉換
效果如下圖:
此時的就可以 根據 這個 new_time 時間字段 進行 查詢了。
具體的查詢語法 查詢 官方文檔。