Используется ли плагин Elapse, используемый в ELK для определения разницы во времени, только @timestamp по умолчанию (когда журнал загружается в ES), или мы можем настроить его на log_time (временная метка из журнала)?
Мое требование - найти разницу во времени между двумя журналами, которые не вводятся в реальном времени для эластичного поиска.
В настоящее время у меня нет журналов, чтобы проверить это, поэтому будет здорово получить быстрый ответ. Заранее спасибо.
Не уверен, что понимаю, но похоже, что документы, которые вы индексируете, имеют поле с именем «log_time», но когда вы индексируете эти документы, он добавляет поле «@timedtamp», в котором указано другое время.
Если это так, у вас есть два варианта: оба будут принимать значение log_type и копировать его в поле @timestamp во время индекса.
Либо используйте фильтр даты logstash https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html.
или используйте конвейер загрузки ES с процессором даты: https://www.elastic.co/guide/en/elasticsearch/reference/master/date-processor.html
