logstash 数据采集时间差8小时问题及解决

最新推荐文章于 2024-04-07 10:56:04 发布
最新推荐文章于 2024-04-07 10:56:04 发布
阅读量1.2w 收藏 8
点赞数 2
分类专栏: elasticsearch 文章标签: logstash时区 logstash慢八小时
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33283716/article/details/83055655
版权

最近采用logstash采集日志按天产生文件

使用过程中发现logstash timestamp记录的时间戳为UTC时间。

比我们的时区早8个小时。

不能确保每天的数据在同一文件。

造成发送到es里的数据每天早上8点才创建索引,发送的file的数据每天早上8点自动切割。

不符合我们实际的需求。

解决此问题。

方法如下:

方法一、加入filter字段即可解决。

filter {
    ruby {
        code => "event.timestamp.time.localtime"
    }
}

方法二、修改logstash源码

vi logstash-2.4.1\vendor\bundle\jruby\1.9\gems\logstash-core-event-2.4.1-java\lib\logstash\timestamp.rb

UTC = org.joda.time.DateTimeZone.forID(“UTC”)  
修改为:  
UTC = org.joda.time.DateTimeZone.getDefault()

方法三、继续修改源码 总有一种适合你的

1、修改string_interpolation.rb文件

vim /data/logstash/vendor/bundle/jruby/1.9/gems/logstash-core-event-2.4.1-java/lib/logstash/string_interpolation.rb
将.withZone(org.joda.time.DateTimeZone::UTC)修改为.withZone(org.joda.time.DateTimeZone.getDefault())

2、修改timestamp的配置文件

vim  /data/logstash/vendor/bundle/jruby/1.9/gems/logstash-core-event-2.4.1-java/lib/logstash/timestamp.rb
将@time = time.utc修改为@time  = time

 

酱g
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
logstash6.2.3 数据采集工具
06-08
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。
ELK解决8小时的时间误差
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后...
ELK之Logstash解析时间相差8h的问题
一掬净土
11-12 1170
logstash解析的时间为与实际时间想差8h。
Logstash @timestamp和正常时间差8小时解决办法
习惯了想你的博客
11-06 7684
最近在做 logstash 消费 kafka 写到 es 的项目中,在 kibana 中查看发现 logstash 写入的 @timastamp 比真实服务器的时间少了8个小时。并且生成的文件中,日志切分的格式也是差了8小时。例如:2019-01-01的日志里面会写入2019-01-02 08:00:00 前的日志。因为logstash默认使用的是UTC时间。 使用版本: name ver...
Logstash常用语法使用介绍
Eric_W_的博客
04-07 486
Logstash常用语法使用样例介绍
logstash7.x默认时区与字段时间差八个小时
weixin_43725192的博客
06-07 1393
logstash7.x默认时区与字段时间差八个小时解决方法
logstash@timestamp时间差8小时导致数据到前一天的索引中
qq_35865336的博客
04-09 2794
问题logstash@timestamp时间差8小时导致数据到前一天的索引中,比如凌晨00:57的数据跑到了前一天的索引中 很多文章的解决办法,是在原来的@timestamp的基础上进行+8小时解决了,但我后来试过还是有问题。 给出我自己试验后的解决方案: 日志: 2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO com.yh.stock.controller.StockController - 库
logstash解决时区问题 早上8点建立索引问题!!!!
weixin_42207486的博客
09-13 5548
在elk的路上越走越远! 版本:5.5 问题背景:公司开发需要针对es索引去统计一些东西,但是索引是统计8点到第二天8点影响,要改索引建立为凌晨建立时间。 解决:直接上配置 date { match => ["PARAM_date", "yyyy.MM.dd HH.mm.ss","UNIX_MS"] target => "@time...
logstash处理@timestamp时区
进击的豌豆的博客
09-08 2299
input { stdin { } } filter { #ruby { # code => "event.set('timestamp', event.get('@timestamp') + 8*60*60)" # code => "event.set('aaa', event.get('@timestamp').time.localtime)" # code => "event.set('bbb', event.timestamp.time.localtime +
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash数据采集案例(一) 03 Logstash数据采集案例(二) 04...
logstash采集数据数据插件
10-19
logstash采集数据数据插件logstash-input-jdbc-4.2.1.zip
Logstash数据收集引擎介绍.pdf
10-14
总的来说,Logstash作为一款灵活的数据收集引擎,提供了强大的日志管理和分析能力,它简化了从多种来源整合和处理数据的过程,是构建日志管理和监控解决方案的重要组成部分。通过其丰富的插件生态系统和强大的配置...
Logstash数据收集引擎介绍.pptx
10-14
Logstash 是一个强大的数据收集引擎,它在IT领域中被广泛用于日志管理和分析。作为Elastic Stack(之前称为ELK Stack,包括Elasticsearch、Logstash和Kibana)的一部分,Logstash能够帮助用户从各种来源高效地收集、...
logstash 采集log4j日志配置文件
07-27
logstash采集log4j日志发送到es配置文件,可以把日志根据日志级别区分开,一个级别一条日志是es中的一条数据
elasticsearch logstash同步数据 视频教程
最新发布
06-23
ELK elasticsearch logstash 同步数据 视频教程
logstash修改es创建索引的时间为凌晨00:00;
qq_44930876的博客
01-11 1287
logstash修改es创建索引的时间为凌晨00:00;
logstash时差问题
我是个白才的博客
08-22 3725
自己这几天在弄最新的logstash+elasticsearch+kibana集成部署中间遇到很多问题这里简要说下我遇到的时差问题 各个版本:logstash-1.5.3  elasticsearch-1.7.0(es)   kibana-4.1.1-linux-x64 应该都是最新的,以下我自己的见解,如有错误请多多指教。 logstash的时差问题: 在es和kibana集成的时候,我用
解决logstash创建es索引默认使用@timestamp的UTC时间所导致的时区问题
u013905744的专栏
09-20 6413
场景: 有一个用户行为日志的统计,其使用logstash过滤后放到es里面。 脚本是这样 每天记录加入一个field,指定其位置 根据这个filed,放到es指定的index中 问题: 2019.09.17的index 2019.09.16的index 显然遇到了时区转换问题 原因: logstash创建es索引默认使用@timestamp的UTC时间 ....
logstash grok 解决数据真实时间
07-11
要使用Logstash的Grok插件来解决数据真实时间的问题,你可以按照以下步骤操作: 1. 在Logstash的配置文件中,添加一个输入插件来读取你的数据源,例如文件或消息队列。 2. 使用Grok插件来解析你的数据。Grok插件使用正则表达式模式来匹配和提取数据中的特定字段。 3. 对于包含时间戳的字段,你可以使用Grok插件中的日期模式来解析和提取时间信息。日期模式使用特定的格式字符串来匹配和解析时间戳。 4. 在Grok模式中,你可以使用特殊的时间戳标记,如%{TIMESTAMP_ISO8601},来匹配ISO 8601格式的时间戳。如果你的时间戳格式与ISO 8601不同,你可以自定义日期模式来匹配你的时间戳格式。 5. 在Logstash配置中,使用date过滤器将匹配到的时间戳字段转换为Logstash事件的真实时间。你可以指定输入字段和输出字段的名称,并使用合适的格式字符串来定义输出时间的格式。 下面是一个简单的Logstash配置示例,演示了如何使用Grok插件解析时间戳字段: ``` input { file { path => "/path/to/your/logfile" start_position => "beginning" } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{GREEDYDATA:message}" } } date { match => [ "timestamp", "yyyy-MM-dd HH:mm:ss" ] target => "@timestamp" } } output { stdout { codec => rubydebug } } ``` 在这个示例中,输入插件从指定的日志文件中读取数据。Grok插件匹配时间戳字段和消息字段,并将它们提取为单独的字段。然后,date过滤器将匹配到的时间戳字段转换为Logstash事件的真实时间,并存储在@timestamp字段中。最后,输出插件将事件打印到控制台。 请注意,这只是一个简单的示例,你可能需要根据你的实际需求进行调整和扩展。你可以根据Logstash文档中提供的更多详细信息来定制你的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值