我的 tomcat 访问日志的最后一个字段为“%D - 处理请求所用的时间,以毫秒为单位”。我正在尝试过滤花费超过几毫秒的日志,但结果显示所有日志,我正在尝试按照 lucene“范围搜索” http://lucene.apache.org/core/2_9_4 /queryparsersyntax.html
尝试以下过滤器查询: timetaken: [1000 TO *] timetaken: [1000 TO 5000] timetaken: ['1000' TO *]
AskOverflow.Dev
默认情况下,logstash 将所有输入作为字符串,将“:int”添加到我想要作为数字的字段中。例如。%{NUMBER:apache_bytes:int} %{NUMBER:apache_response_time:int}
参考:https ://groups.google.com/forum/#!topic/logstash-users/2ewrcovttSY