Logstash将日志产生时间替换@timestamp,并保留日志收集时间到其他字段

最新推荐文章于 2024-07-23 13:32:09 发布
最新推荐文章于 2024-07-23 13:32:09 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: ELK 文章标签: logstash timestamp ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33999844/article/details/106759784
版权

1.需求

EFK日志系统采集日志时,采集时间日志真正生成的时间会有差异,开发一般需要根据日志真正的生成时间在kibana中进行查询

2.解决方案

将收集到的日志的时间抽取出来,替换默认的@timestamp字段(将@timestamp字段赋值给其他字段用来记录)

 

logstash的配置(测试环境):

filter {
    grok {
      match => {  "message" => "(\s*%{TIMESTAMP_ISO8601:timestamp}\s*\[.*\]\s*%{LOGLEVEL:loglevel}.*%{UUID:traceId})"  }
    }
    ruby {
        code => "event.set('collection_time', event.get('@timestamp'))"
    }
    date {
        match => ["timestamp", "yyyy-MM-dd HH:mm:ss.SSS"]
        target => "@timestamp"
    }
    mutate {
      remove_field => [ "host","timestamp" ]
    }
}

 

注意:@timestamp被赋值后会比当前时间少8h,所以需要在ruby代码中设置

code => "event.set('collection_time', event.get('@timestamp')+8*60*60)"

注意:生产环境和测试环境输出日志的精度可能不一样

比如,生产环境的日志精度最后是四位,那么date插件的配置如下:

match => ["timestamp", "yyyy-MM-dd HH:mm:ss.SSSS"]

 

 

 

 

 

 

zmc@
关注
专栏目录
logstash @timestamp 内容替换
勿忘初心
05-13 9396
conf文件:input { stdin{} } filter { grok{ match => ["message","%{HTTPDATE:[@metadata][timestamp]}"] } date{ match=>["[@metadata][timestamp]","dd/M
Logstash日志产生时间替换@timestamp
零度的博客专栏
07-02 1万+
一、跟着官网学习一下date插件      日期过滤器用于从字段中解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动中没有找到正确的日期,那么稍后搜索它们可能会排序错...
Logstash-8.14.1安装部署
最新发布
qq_37647812的博客
07-23 787
ELK中集成Logstash
logstash实战(一)-时间替换字段修改
chuanan6914的博客
03-05 2578
一、源数据 [ { "sn":"8e.05-17.09-10390384", "mediaCode":"pcdn_p3_globo_rj", "startTime":1548316771, "endTime":154831...
logstash产生时区替换@timestamp
weixin_33816946的博客
06-26 1029
logstash中nginx配置一般分为两种格式: 1、nginx配置$time_local log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_...
Logstash日志产生时间替换@timestamp;并且防止Elasticsearch重启ouput
qq_28654061的博客
11-22 391
logstash
logstash毫秒时间戳转日期以及使用业务日志时间替换原始@timestamp
发现问题,面对问题,分析问题,解决问题,总结问题
02-11 2498
详细观察内部数据发现其中日志数据有一个timestamp字段保存的是业务日志的毫秒级时间戳,经过和@timestamp数据对比发现二者的时间不匹配。经过分析得知@timestamp是按照logstash插入es数据的时间来排序,而且数据是按照批次来的,每一批次的时间可能都是大径相同,结果就是导致上面描述的一系列问题。
(转)Logstash 五种替代方案(Filebeat、Fluentd、rsyslog、syslog-ng 以及 Logagent
silver9886的专栏
04-23 2314
Logstash 五种替代方案(Filebeat、Fluentd、rsyslog、syslog-ng 以及 Logagent
logstash 收集解析日志文件到ES集群
qq_36374805的博客
07-10 9002
    一般情况下,对于日志的解析和分析,是比较费心费时的一件事,但是借助logstash和es可以快速的把相关的日志文件解析后导入到es进行后期的日志分析和排错。下面就一般的流程作为说明,以供参考准备材料:日志文件,es集群 logstash安装文件步骤一: 1) 因为logstash是基于Java开发的,相关的运行需要jvm支持,因此,在需要在日志文件所在的机器上 需要安装Java并配置相关...
logstash接收多台服务器日志_Logstash实践: 分布式系统的日志监控
weixin_39913105的博客
12-22 1266
文/赵杰2015.11.041. 前言服务端日志你有多重视?我们没有日志日志,但基本不去控制需要输出的内容经常微调日志,只输出我们想看和有用的经常监控日志,一方面帮助日志微调,一方面及早发现程序的问题只做到第1点的,你可以洗洗去睡了。很多公司都有做到第2点和第3点,这些公司的服务端程序基本已经跑了很长时间了,已比较稳定,确实无需花太多时间去关注。如果一个新产品,在上线初期,我觉得就有必要做到第4...
logstash使用webhdfs插件指定输出字段存储数据到hdfs时间分层(还能保留原来数据)
qq_28640637的博客
07-05 2836
第一次...发论坛(手抖)。。。以前只是开通账号,只是用来下载工具包看看而已,今天试试发一下。记录一下一个新的开始。2017-7-5;谢谢 基于项目新搭建环境-->部分工具版本 hadoop 2.6.5 ;hive-1.2.1 logstash 2.4.0; impala-2.8; elasticsesarch-5.4.1; spark-2.1.1; scala 2.12.2 jdk1.8
nginx中用JSON格式记录日志的配置示例
09-30
在定义好JSON格式的日志之后,需要通过access_log指令将其应用到具体的日志文件中。在access_log指令中指定日志文件的路径以及之前定义的日志格式名称。如示例中的"access_log/data/logs/nginx/***.access.log ...
logstash ngixn mysql_nginx+logstash+mysql 实时存储数据
weixin_39850599的博客
01-26 238
实现思路:1.硬件端日志访问nginx附带json格式日志2.后通过logstash实时读取nginx日志存储于mysql中1.nginx安装和配置1.1 point-record为自定义nginx服务名docker run -p 80:80 --name=point-record -v /opt/point-record/conf.d:/etc/nginx/conf.d -v /opt/poi...
通过日志里的时间替换logstash处理生成的时间
wzf862187413的博客
04-12 2504
日志格式如下所示: Apr 12 01:09:55 swarm1 chronyd[599]: Source 5.79.108.34 online Apr 12 01:09:55 swarm1 chronyd[599]: Source 13.55.50.68 online Apr 12 01:09:55 swarm1 nm-dispatcher: req:8 'connectivity-chang...
logstash gsub替换
trigfj的博客
11-13 765
logstash gsub替换
elk-logstash 读取日志(2): messages和log日志生成时间替换时间
qq_33834493的博客
05-20 1236
目前日志: 2021-05-20 14:26:34.817 [http-nio-9031-exec-9] INFO com.abutment.producer.RocketMqHelper.sendMessage - >>>>生产者发送topic为: dispatch_topic msgId: AC1188CD08496B884D5764F234ACDB4E tag: GID_91610000786990367Y 2021-05-20 14:26:34.817 [http-n...
logstash 各种时间转换
热门推荐
zhaoyangjian724的专栏
09-21 2万+
2016-09-21 19:10:01,538 INFO com.zjzc.common.utils.HttpUtil - 返回结果:retCode=0000,返回值: {"data":{"orderNo":"2016092119061427857473cba55d544c","cardNo":"6226690800882527","status":3},"enableModify":true,"
logstash默认timestamp时间戳值修改为日志中提取的时间
Zhang Phil
06-12 2656
logstash中的timestamp时间时间由logtash在采集到日志时间时候自动设置,有些时候,需要把这个默认的timestamp时间修改为日志数据中提取到的时间,使两者一致。可以通过配置文件实现: 上述配置的grok将匹配每一行日志中开始的[]里面的数据作为时间放入到logtime中,然后在date里面,将按照yyyy-MM-dd HH:mm:ss.SSS的日期时间格式把时间最终覆盖系统默认的timestamp中。也可以通过ruby代码实现把自己提取到的日志时间作为系统默认的时间戳:...
ELK 把date替换logstash的@timestamp
夏已微凉、
09-27 628
一、内容二、相关文章 一、内容 需要把下面日志里的时间转换为Es的@timestamp字段 [2020-09-26 08:34:41] 127.0.0.1 GET local.test.com:8010/index/index/test?name=张三&id=9 0.412191 logstash 的配置文件中的filter可以这样写 filter { grok { match => { # message配置单个规则: "messa.
logstash @timestamp时间时区的问题
05-24
Logstash中,@timestamp字段默认情况下是UTC时间,但可以使用date过滤器来将其转换为本地时区。 以下是一个示例配置文件,其中使用date过滤器将@timestamp转换为美国洛杉矶时区: ``` input { # 输入数据源 } filter { date { match => ["@timestamp", "ISO8601"] timezone => "America/Los_Angeles" } } output { # 输出数据目的地 } ``` 在这个示例中,date过滤器使用ISO8601格式匹配@timestamp字段,并将其转换为美国洛杉矶时区。您可以根据需要将timezone参数更改为所需的时区。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值