【转】logstash处理时区问题

最新推荐文章于 2024-05-31 22:28:54 发布
最新推荐文章于 2024-05-31 22:28:54 发布
阅读量3.7k 收藏 1
点赞数 1
分类专栏: Logstash

原文:https://blog.csdn.net/wuyinggui10000/article/details/77879016

一、原文

公司线上日志是通过logstash接收并上传的,使用版本是logstash2.3,发现@timestamp经常少8个小时;

处理逻辑如下,无需修改插件源码

input { stdin {} }
output { stdout { codec => rubydebug } }
filter {
  date {
    match => ["message","UNIX_MS"]    #message在实际应用中修改为自己的字段
    target => "@timestamp"   
  }
  ruby { 
    code => "event['timestamp'] = LogStash::Timestamp.new(event['@timestamp']+ 8*60*60)" 
  }
  ruby {
    code => "event['@timestamp']= event['timestamp']"
  }
  mutate {
    remove_field => ["timestamp"]
  }
}

另外在5.x版本logstash配置有不同

input { stdin {} }
output { stdout { codec => rubydebug } }
filter {
  date {
    match => ["message","UNIX_MS"]
    target => "@timestamp"   
  }
  ruby { 
    code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" 
  }
  ruby {
    code => "event.set('@timestamp',event.get('timestamp'))"
  }
  mutate {
    remove_field => ["timestamp"]
  }
}


测试方法

echo '1504744911000' | ./logstash -f ~/test.conf

二、补充

1. filter 中 date 的作用:

        获取测试数据中表示日期的数据(其格式使用的是 UNIX_MS 时间),并将其赋值给 @timestamp。

        UNIX_MS:记录的是从1970年起始至今的总毫秒数。JavaScript经常使用这个时间格式。

        UNIX:记录的是从1970年起始至今的总秒数。Squid的默认日志时间格式。

        ISO8601:

2. 两个 ruby

        第一个:获取 @timestamp的值并加上 8*60*60(北京时间比 logstash 中@timestamp 晚了 8 小时),然后赋值给变量 timestamp。

        第二个 ruby:将 timestamp 值重新赋值给 @timestamp

3. mutate

        删除变量 timestamp。

        如果只是需要修改@timestamp时间,不需要从日志获取时间,则 date{} 这部分可以取消。

三、时区问题的解释

        很多中国用户经常提一个问题:为什么 @timestamp 比我们晚了 8 个小时?怎么修改成北京时间?

        其实,Elasticsearch 内部,对时间类型字段,是统一采用 UTC 时间,存成 long 长整型数据的!对日志统一采用 UTC 时间存储,是国际安全/运维界的一个通识——欧美公司的服务器普遍广泛分布在多个时区里——不像中国,地域横跨五个时区却只用北京时间。

        对于页面查看,ELK 的解决方案是在 Kibana 上,读取浏览器的当前时区,然后在页面上转换时间内容的显示。所以,建议大家接受这种设定。否则,即便你修改了 @timestamp,也要面临在 Kibana 上反过去修改,以及 Elasticsearch 原有的 ["now -ih", "now"] 这种方便的搜索语句无法正常使用的尴尬。

 

 

不知道叫什么好+1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-filter-geoip-cn.zip
03-27
Logstash 是一个强大的数据收集、处理发工具,广泛用于日志管理和实时分析系统中。在Logstash中,filter模块负责对输入的数据进行各种换和处理,以满足特定的需求。"logstash-filter-geoip-cn.zip" 文件显然是...
解决logstash时区相差8小时问题最详细解答
yongyong169的博客
03-01 3994
解决logstash索引差八小时的问题
Logstash 时区问题
山海散客
11-18 2416
1. Date Filter 插件 日期过滤器用于分析字段中的日期,然后使用该日期或时间戳作为事件的 logstash 时间戳。 1.1. 配置项 ...
【面试宝典】19道Logstash高频面试题库整理(附答案背诵版)
最新发布
tyler的博客
05-31 2399
Logstash是一个开源的数据收集引擎,具备实时管道处理能力。它可以从多个来源采集数据,进行换,然后将数据发送到指定的存储库。官方介绍Logstash为“具备实时数据传输能力的管道”,能将数据从输入端传输到输出端,并且可以根据需求在中间加入滤网。Logstash可以动态地采集、换和传输数据,不受数据格式或复杂度的影响。Logstash的三大核心部分为:inputs(输入)、filters(过滤器)和outputs(输出)。
logstash7.x默认时区与字段时间差八个小时
weixin_43725192的博客
06-07 1457
logstash7.x默认时区与字段时间差八个小时解决方法
通过logstash 从MYSQL增量同步到Elasticsearch 时区问题
weixin_45526912的博客
12-22 494
注意: 第一次导入时,先同步数据1.kibana先创建 mysql_woc_user 索引 PUT mysql_woc_user2.pipline 配置 关闭跟踪记录结果,去掉 where 条件查询。
logstash 7.x 中时间问题,@timestamp 与本地时间相差 8个小时
猎人在吃肉
12-29 3099
1、问题: 版本:logstash-7.16.2 Logstash 中的时间为格林威治时间,而我们时区是东8区,因此通过logstash采集到的数据和我们的时间会有8小时的时差。 当我们是上午8点钟时,格林威治时间才是0点,跟时间有关的都会有问题。 2、 解决方法 解决方法 是在 当前时间的基础上加上8小时。 filter { ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*
oracle日期处理全集
11-25
3. **new_time(d, a, b)**: 该函数用于将日期和时间d从时区a换为时区b的时间。在示例中,`new_time(sysdate, 'EST', 'GMT')`将当前日期和时间从东部标准时间(EST)换为格林尼治标准时间(GMT)。 4. **next_...
Ruby中处理时间和日期
09-06
Ruby 中处理时间和日期 Ruby 中处理时间和日期可以使用 Time 类来生成当前时间的对象。Time 类有类方法 mktime(同义方法是 local 方法)来根据传入的参数生成时间对象,并且它使用的是当前的时区。例如: t = ...
calendar-backend:我正在处理的约会日历应用程序的后端
03-17
需要正确处理时区换、闰年、节假日等。可以使用如moment.js(JavaScript)或dateutil(Python)等库来简化这类任务。 6. **并发处理**:考虑到多个用户可能同时操作日历,需要处理并发问题。可以使用事务来保证...
ELK解决8小时的时间误差
08-01
新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、...
时区介绍
Golang客栈
06-08 2290
什么是时区 时区是地球上的区域使用同一个时间定义。为了照顾到各地区的使用方便,又使其他地方的人容易将本地的时间换算到别的地方时间上去。1884年的国际经度会议规规定将地球表面按经线从南到北划分为24个时区,并且规定相邻区域的时间相差1小时。当人们跨过一个区域,就将自己的时钟校正1小时(向西减1小时,向东加1小时),跨过几个区域就加或减几小时。 地球自西向东旋,东边比西边先看到太阳,东边的...
ELK日志收集和备份填坑实战 (滞后8个小时等时区问题
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
04-15 1078
数据写入时间不一致、数据滞后8小时等时区问题的本质是:各个处理时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstash、Elasticsearch 是UTC时区
Elasticsearch 滞后8个小时等时区问题,一网打尽!
qq_34905631的博客
04-21 1683
我们看一下东8区百度百科定义:东八区(UTC/GMT+08:00)是比世界协调时间(UTC)/格林尼治时间(GMT)快8小时的时区,理论上的位置是位于东经112.5度至127.5度之间,是东盟标准的其中一个候选时区。是:各个处理时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstash、Elasticsearch 是UTC时区。ingest 预处理时区的好处:方便、灵活的实现了写入数据的时区换。那么问题嫁为:写入的时候换成给定时区(如:东8区)就可以了。
Logstash时区问题的建议和修改
热门推荐
BlueSky
02-16 1万+
大家在用Logstash收集日志时,发现@timestamp的时间比本地早8个小时,这是正常的,因为这个时间是UTC时间,日志应统一采用这个时间。 原则上建议大家不要修改这个时间戳: [plain] view plain copy 时区问题的解释      很多中国用户经常提一个问题:为什么 @timestamp 比我们早了 8 个小时
logstash修改es创建索引的时间为凌晨00:00;
qq_44930876的博客
01-11 1317
logstash修改es创建索引的时间为凌晨00:00;
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1595
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstash修改时间为北京时间
Jepson的博客
12-08 1394
logstash收集日志时,日志记录中的@timestamp字段记录的是UTC标准时间,如果想成北京时间(UTC +0800),可采用以下方式: filter { ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" } ruby { code => "event.set('@timestamp',event.ge
logstash 时区
05-16
Logstash提供了date过滤器,可以用于将时间戳换为指定的时区。下面是一个示例配置文件: ``` input { stdin {} } filter { date { match => ["timestamp", "UNIX"] timezone => "Asia/Shanghai" } } output { stdout { codec => rubydebug } } ``` 在上面的配置文件中,我们使用了date过滤器来处理timestamp字段。"match"选项指定了时间戳的格式,"timezone"选项指定了换后的时区。在这个例子中,我们将时间戳换为"Asia/Shanghai"时区的时间。 如果你想将所有的时间戳都换为同一个时区,可以在filter中添加一个timezone选项: ``` filter { date { match => ["timestamp", "UNIX"] timezone => "UTC" } } ``` 在上面的例子中,我们将所有的时间戳都换为UTC时区的时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值