Datum bei Ereignis ändern, das von Filtern für verstrichene oder aggregierte Daten erstellt wurde

Question

Bei Verwendung von new_event_on_match mit verstrichenem Filter wird ein neues Ereignis mit einem neuen Zeitstempel erstellt. Der Filter "Aggregat" fügt ein neues Ereignis mit einem neuen Zeitstempel hinzu.

Ich möchte den Zeitstempel aus den ursprünglichen Ereignissen verwenden, die jetzt im Feld elapsed_timestamp_start verfügbar ist. Wie kann ich @timestamp in dem neu erstellten Ereignis ersetzen?

Kann ich einen Date Filter in einem Elapsed Filter verwenden?

Answer 1

Zunächst einmal, nur der elapsed Filter erstellt ein neues Ereignis, der aggregate Filter nicht und wird alle bisher gesammelten Informationen in das letzte Ereignis schieben.

Um einen Kontext zu bieten, ist die vorherige Frage, auf die Sie sich beziehen, this one.

Sie können erreichen, was Sie wollen, indem Sie einfach einen date Filter direkt hinter dem letzten Filter elapsed hinzufügen, um das Ereignis zu ändern, das vom vorgeschalteten Filter elapsed neu erstellt wurde. Beachten Sie auch, dass wir zuerst das elapsed_timestamp_start Feld in eine Zeichenfolge konvertieren müssen, bevor Sie versuchen, das Datum zu entsprechen, weil es ein Logstash Zeitstempel Objekt ist (erstellt durch die elapsed Filter)

if "elapsed" in [tags] { 
    mutate { 
     convert => {"elapsed_timestamp_start" => "string"} 
    } 
    date { 
     match => ["elapsed_timestamp_start", "ISO8601"] 
    } 
    }