文章标题

logstash fliter插件的date

date过滤器用于从字段中解析日期，然后用这个日期作为logstash中事件的时间戳（timestamp）。

例如，syslog经常有这种时间戳：

Apr 17 09:32:01

你应该用dd HH:mm:ss这种格式解析它。

date过滤器对于事件的排列以及回填旧数据都很重要。如果在你的事件中，没有得到正确的日期，那么之后搜索的结果会乱序。

没有这个过滤器的情况下，如果时间中没有时间戳字段，logstash会基于它第一次看到这个事件的时间选择一个时间戳。例如，input为file，则时间戳设置为读取到事件的时间。