Logstash @timestamp和正常时间差8小时的解决办法

最新推荐文章于 2023-11-12 21:41:24 发布
最新推荐文章于 2023-11-12 21:41:24 发布
阅读量7.8k 收藏 4
点赞数
分类专栏: ELK 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q748893892/article/details/102932519
版权

最近在做 logstash 消费 kafka 写到 es 的项目中,在 kibana 中查看发现 logstash 写入的 @timastamp 比真实服务器的时间少了8个小时。并且生成的文件中,日志切分的格式也是差了8小时。例如:2019-01-01的日志里面会写入2019-01-02 08:00:00 前的日志。因为logstash默认使用的是UTC时间。
使用版本:

nameversion
logstash6.3.2
es6.2.2
kibana6.2.2

解决方法:对@timestamp重新赋值,加上8小时。直接给@timestamp赋值不行,需要一个中间变量来操作。
ruby代码:
event.set(‘timestamp’, event.get(’@timestamp’).time.localtime + 86060)
event.set(’@timestamp’,event.get(‘timestamp’))
remove_field => [“timestamp”]

完整代码如下:

input {
    kafka{
        bootstrap_servers => "kafka-1:10193,kafka-2:10193"
        group_id => "mygroup"
        topics => ["docker-log"]
        consumer_threads => 5
        decorate_events => true
        codec => json {
             charset => "UTF-8"
        }
        auto_offset_reset => "latest"
    }
}
filter {
   mutate{
        split=>["source", "/"]
          add_field => {
            "file_name" => "%{source[5]}"
        }
        remove_field => ['@version','source','fields','input_type','beat']
    }
   if "webapp" not in [docker]{
     drop {}
   }
   grok{
       match => {"message" => "\[%{TIMESTAMP_ISO8601:logTimestamp}\] {%{LOGLEVEL:level}} \[(?<thread>.*)\] %{JAVACLASS:className} %{NUMBER:lineNum} \- (?<content>.*)"}
   }
   if "controller" != [className] and "用户" not in [content]{
      drop {}
   }
   ruby {
     code => "
       if !event.get('content').start_with?'用户'
          event.cancel
       end
       event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)
       event.set('@timestamp',event.get('timestamp'))
       "
     remove_field => ["timestamp"]
   }
}
output {
    #elasticsearch {
    #    hosts => ["es-6.com:80"]
    #    index =>  "%{docker}_%{+YYYY-MM-dd}"
    #}
    stdout {
        codec => rubydebug
    }
}

注意:
高版本ruby代码中已经不能使用 event[‘name’] 取值了,需要改为:event.get(‘name’)
jruby 语法 api 参考链接
Logstash进阶指南 | 1. 万能的ruby filter

ELK解决8小时的时间误差
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
解决logstash时区相差8小时问题最详细解答
yongyong169的博客
03-01 4175
解决logstash索引差八小时的问题
logstash 数据采集时间差8小时问题及解决
热门推荐
OH LEI``
10-15 1万+
最近采用logstash采集日志按天产生文件 使用过程中发现logstash timestamp记录的时间戳为UTC时间。 比我们的时区早8个小时。 不能确保每天的数据在同一文件。 造成发送到es里的数据每天早上8点才创建索引,发送的file的数据每天早上8点自动切割。 不符合我们实际的需求。 解决此问题。 方法如下: 方法一、加入filter字段即可解决。 filter { ...
logstash 7.x 中时间问题,@timestamp 与本地时间相差 8个小时
猎人在吃肉
12-29 3319
1、问题: 版本:logstash-7.16.2 Logstash 中的时间为格林威治时间,而我们时区是东8区,因此通过logstash采集到的数据和我们的时间会有8小时的时差。 当我们是上午8点钟时,格林威治时间才是0点,跟时间有关的都会有问题。 2、 解决方法 解决方法 是在 当前时间的基础上加上8小时。 filter { ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*
ELK之Logstash解析时间相差8h的问题
最新发布
一掬净土
11-12 1399
logstash解析的时间为与实际时间想差8h。
Logstash: timestamp时间差8小时问题及解决
把伤痕当酒窝
03-13 3860
场景 通过metricbeat收集服务器系统日志,metricbeat中的日志发送到kafka中 Logstash中的时间为格林威治时间,因此通过logstash采集到的数据和我们的时间会有8小时的时差 如果在后续代码中处理很有可能会处理遗漏掉,造成数据的时间错误。 版本 logstash 7.6.0 解决方案如下 input { beats { port =&g...
flume和logstash.zip
07-07
标题中的"flume和logstash.zip"是一个包含两个著名数据采集工具——Apache Flume和Logstash的压缩包。这两个工具都是大数据生态系统中的重要组件,主要用于日志管理和数据收集。 Apache Flume是一个分布式、可靠且...
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
时区介绍
Golang客栈
06-08 2436
什么是时区 时区是地球上的区域使用同一个时间定义。为了照顾到各地区的使用方便,又使其他地方的人容易将本地的时间换算到别的地方时间上去。1884年的国际经度会议规规定将地球表面按经线从南到北划分为24个时区,并且规定相邻区域的时间相差1小时。当人们跨过一个区域,就将自己的时钟校正1小时(向西减1小时,向东加1小时),跨过几个区域就加或减几小时。 地球自西向东旋转,东边比西边先看到太阳,东边的...
logstash 读取MySQL数据到elasticsearch 相差8小时解决办法
北凉徐凤年的博客
03-01 349
logstash 读取MySQL数据到elasticsearch 相差8小时解决办法
logstash String转data,@timestamp转化为东八区时间
qq_35233282的博客
01-18 837
当你传过来一个时间类型的字符串时,可以用这个方式 date{ match => [ "timestamp", "yyyy-MM-dd HH:mm:ss"] } 下面这个可以把这个字符串赋值给linux自动生成的@timestamp并转化为东八区时间 ruby{ code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60); e...
logstash同步数据到ES时间相差8小时问题
Dxy1239310216的博客
01-16 3392
问题描述 使用 logstash 从 mysql 同步数据到 ES。发现同步到 ES 中的新闻数据时间字段比 mysql 中的时间少8小时。 问题原因 logstash 默认时区是0时区,而中国是东八区。 解决方法 在 logstash 同步代码中加入过滤器,对时间字段加8小时处理。logstash 同步代码中加入如下代码。 filter{ ruby { code => "event.set('time', event.get('time').time
ELK搭建之filebeat时间问题
搬砖小胖子
08-08 3287
众所周知,在kibana页面上查看filebeat的日志信息会比北京时间早8小时,例如现在是北京时间2019年8月8日11:37分,但是在kibana上filebeat的时间是2019年8月8日19:37分。因为差八个小时,日志看起来很不方便,网上查了很多的教程都不行,以下方法亲自试验有效果 cn-zstack-db-back rsyslog日志服务器 安装了filebeat filebe...
Elasticsearch 滞后8个小时等时区问题,一网打尽!
qq_34905631的博客
04-21 2175
我们看一下东8区百度百科定义:东八区(UTC/GMT+08:00)是比世界协调时间(UTC)/格林尼治时间(GMT)快8小时的时区,理论上的位置是位于东经112.5度至127.5度之间,是东盟标准的其中一个候选时区。是:各个处理端时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstash、Elasticsearch 是UTC时区。ingest 预处理时区的好处:方便、灵活的实现了写入数据的时区转换。那么问题就转嫁为:写入的时候转换成给定时区(如:东8区)就可以了。
logstash7.x默认时区与字段时间差八个小时
weixin_43725192的博客
06-07 1555
logstash7.x默认时区与字段时间差八个小时解决方法
ELK:Logstash6.7版本配置记录及格式化时间
小白的专栏
10-09 828
一、背景 项目统一升级ELK,原来的版本已经不适配新的集群,需要升级elk版本,升级的过程中很多配置改变,记录下相关操作。 这里只记录logstash的相关配置。 二、相关配置 我们都知道logstash配置文件的主要格式如下 input { } filter { } output { } 原来项目使用的是2.3.4版本的logstash,升级到新版本后相关的配置发生了改变。 2.3.4版本input input { kafka{ group_i
logstash @timestamp时间时区的问题
05-24
Logstash中,@timestamp字段默认情况下是UTC时间,但可以使用date过滤器来将其转换为本地时区。 以下是一个示例配置文件,其中使用date过滤器将@timestamp转换为美国洛杉矶时区: ``` input { # 输入数据源 } filter { date { match => ["@timestamp", "ISO8601"] timezone => "America/Los_Angeles" } } output { # 输出数据目的地 } ``` 在这个示例中,date过滤器使用ISO8601格式匹配@timestamp字段,并将其转换为美国洛杉矶时区。您可以根据需要将timezone参数更改为所需的时区。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值