logstash@timestamp时间差8小时导致数据到前一天的索引中

最新推荐文章于 2024-05-18 19:04:45 发布
最新推荐文章于 2024-05-18 19:04:45 发布
阅读量2.7k 收藏
点赞数
分类专栏: elasticsearch 文章标签: elk logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35865336/article/details/124066973
版权

问题:logstash@timestamp时间差8小时导致数据到前一天的索引中,比如凌晨00:57的数据跑到了前一天的索引中

很多文章的解决办法,是在原来的@timestamp的基础上进行+8小时来解决了,但我后来试过还是有问题。

给出我自己试验后的解决方案:

日志:

2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO  com.yh.stock.controller.StockController - 库存减一19  -----

logstash配置:

input {
    beats{
	  port => 5044
    }
} 


filter {
	
	
	

    grok{
        match => ['message','%{TIMESTAMP_ISO8601:logdate}']
    }
	
	grok{
        match => { "logdate" => ["%{DATE_EU:ymd}"]}
    }
	
	date{
             match => [ "logdate", "yyyy-MM-dd HH:mm:ss.SSS" ]
             target => "@timestamp"
        }
	
	
	  

	  
	  
}
 
output {
    elasticsearch{
	    hosts => ["127.0.0.1:9200"]
		index => "logstash-test-%{ymd}"
    }
	
	stdout{
		codec=>rubydebug
	}
}

input:数据来源于filebeat

filter:

grok:插件

自带正则:https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash

logstash输出结果:

{
         "agent" => {
        "ephemeral_id" => "12ff0840-e828-4bd8-be26-658625fd9c81",
            "hostname" => "DESKTOP-F55K9CL",
                  "id" => "776244d9-9922-4964-802c-a1423a61a3de",
                "name" => "DESKTOP-F55K9CL",
             "version" => "7.15.2",
                "type" => "filebeat"
    },
           "log" => {
        "offset" => 10326,
          "file" => {
            "path" => "D:\\yh\\ideaProjects\\springcouldalibaba\\stock\\src\\main\\resources\\logs\\20220405\\info.log"
        }
    },
           "ymd" => "22-04-01",
    "@timestamp" => 2022-03-31T16:57:49.979Z,
          "host" => {
        "name" => "DESKTOP-F55K9CL"
    },
           "ecs" => {
        "version" => "1.11.0"
    },
      "@version" => "1",
       "message" => "2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO  com.yh.stock.controller.StockController - 库存减一19  -----",
         "event" => {
        "original" => "2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO  com.yh.stock.controller.StockController - 库存减一19  -----"
    },
         "input" => {
        "type" => "log"
    },
       "logdate" => "2022-04-01 00:57:49.979",
          "tags" => [
        [0] "beats_input_codec_plain_applied"
    ]
}

日志里的时间是:2022-04-01 00:57:49.979

@timestamp的时间是:2022-03-31T16:57:49.979Z

ymd:22-04-01

因为我们output中配置的是index => "logstash-test-%{ymd}",所以虽然@timestamp变成了我们日志的里的时间减去8小时,但是他最后在es中生成的索引是

达到了我们要的目的。最后,可能有人有疑问,那就是kibana中的时间@timestamp会不会也是减去8小时的时间呢,我们来看一下:

 

 没有问题,和我们日志中的时间是一致的

filebeat+elk刚接触,有问题,欢迎指出和讨论

CV工程师,面向工资编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK解决8小时的时间误差
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
logstash 数据采集时间差8小时问题及解决
热门推荐
OH LEI``
10-15 1万+
最近采用logstash采集日志按天产生文件 使用过程发现logstash timestamp记录的时间戳为UTC时间。 比我们的时区早8个小时。 不能确保每天的数据在同一文件。 造成发送到es里的数据每天早上8点才创建索引,发送的file的数据每天早上8点自动切割。 不符合我们实际的需求。 解决此问题。 方法如下: 方法一、加入filter字段即可解决。 filter { ...
logstash同步UTC时间小8小时问题
zhanglong_longlong的专栏
06-05 745
filter{ ruby { code => "event.set('ret_date_datetime', event.get('ret_date_datetime').time.localtime + 8*60*60)" }ruby { code => "event.set('renew_date_datetime', event.get('renew_date_datetime').t...
logstash 相差8小时
a1053646895的专栏
10-01 378
logstash > es 动态创建索引,8点之前的数据在昨天的索引里面。 增加 filter 即可解决 filter { mutate { rename => { "@tags" => "channel" } } ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" .
logstash 写入数据到elasticsearch 索引相差8小时解决办法
40kuai的博客
03-07 4928
问题说明 Logstash用的UTC时间, logstash在按每天输出到elasticsearch时,因为时区使用utc,造成每天8:00才创建当天索引,而8:00以前数据则输出到昨天的索引 # 使用logstash写入elasticsearch时的配置 output { elasticsearch { id => "logstash-%{+YYYY.MM.dd}" } }...
logstash-jdbc-input 同步数据到es的多任务配置
04-14
logstash + elasticsearch + kibana, 资源为mysql数据库增量同步到es的配置
Logstash日志数据采集与ELK可视化分析实战
02-21
02 Logstash数据采集案例(一) 03 Logstash数据采集案例(二) 04 Kibana的介绍部署及功能模块讲解 05 ELK企业常见四种架构及应用 06 ELK综合案例-案例数据的导入 07 ELK综合案例-Logstash读取Mysql数据到ES 08...
logstash6.4.3同步数据到elastcsearch6.4.3的配置文件
11-14
logstash6.4.3同步数据到elastcsearch6.4.3的配置文件。具体使用方法请移步文章详阅:https://blog.csdn.net/xiaocy66/article/details/84035587
用于SqlServer 同步数据到ElasticSearch的logstash测试
05-14
使用logstash,解耦sqlserver数据同步到elasticsearch,.net平台下,异步查询优化
解决logstash时区相差8小时问题最详细解答
yongyong169的博客
03-01 3836
解决logstash索引差八小时的问题
logstash timestamp时间差8小时问题及解决
xinguopeng的博客
07-24 6140
最近在测试使用logstash数据从redis同步到es,并且按小时生成文本,但是在使用发现logstash的时间与服务器时间差8小时导致@timestamp字段的时间不对,并且生成文本名字的时间不对,影响后续流程处理,logstash版本6.3.2,解决方式如下,不需要修改源码: input { redis { host => "127.0.0.1" port =...
ELK搭建之filebeat时间问题
搬砖小胖子
08-08 3150
众所周知,在kibana页面上查看filebeat的日志信息会比北京时间早8小时,例如现在是北京时间2019年8月8日11:37分,但是在kibana上filebeat的时间是2019年8月8日19:37分。因为差八个小时,日志看起来很不方便,网上查了很多的教程都不行,以下方法亲自试验有效果 cn-zstack-db-back rsyslog日志服务器 安装了filebeat filebe...
logstash 时间获取失败(yyyy-mm-dd失效)
wwl15840210640的博客
10-13 394
logstash 时间获取失败(yyyy-mm-dd失效)
Logstash: timestamp时间差8小时问题及解决
把伤痕当酒窝
03-13 3705
场景 通过metricbeat收集服务器系统日志,metricbeat的日志发送到kafka Logstash的时间为格林威治时间,因此通过logstash采集到的数据和我们的时间会有8小时的时差 如果在后续代码处理很有可能会处理遗漏掉,造成数据的时间错误。 版本 logstash 7.6.0 解决方案如下 input { beats { port =&g...
logstash日志入库时间差8小时
u011431128的博客
03-13 1万+
在使用elk的过程,我的应用场景比较简单,logstash从kafka取出日志,然后入到对应的日期的es索引。我的logstash配置文件如下:input { kafka { bootstrap_servers => "localhost:9092" group_id => "es" topics => "event...
logstash采集数据,@timestamp有8小时误差问题
weixin_42513872的博客
09-03 421
问题:        用logstash采集数据,@timestamp字段会因为区时问题有8小时的误差 解决方法: 在config文件以下配置 filter { #设置一个自定义字段'timestamp',将logstash自动生成的时间戳的值加8小时,赋给这个字段 ruby { code => "event.set('timestamp', event.get('@timestamp').time.
ELK 日志监控平台(二)- 优化日志格式
最新发布
qq_51513626的博客
05-18 1017
其实细心一点就会发现一个问题,输出到 ES 的日志格式一点也不友好,实际的应用日志信息都集在message索引字段,而且日志的实际输出时间也不是应用打印日志的时间,而是输出到 ES 的时间。插件可以用来转换你的日志记录的时间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里。一个良好的日志格式可以确保日志信息易于阅读、解析和分析,便于在日志分析和故障排查发挥作用。仔细查看可知,输出的日志信息与预期一致,并且我们日志打印时间也和实际的时间一致。
ELK日志收集过程】
weixin_47068446的博客
05-16 472
它不仅简化了日志管理过程,还提供了强大的分析和可视化工具,帮助开发人员快速获取数据,并对数据进行分析和定位。ELK 可以将来自多个源(如服务器、应用程序、网络设备等)的日志数据收集和管理,提供了一个统一的日志存储和查询平台。(2)kafka将队列的日志数据Logstash消费,Logstash数据做定制化处理,处理好数据后再推送到ES指定的索引。(3)ES收到Logstash推送的数据之后存储对于索引的分片,由于ES自身的特性,针对海量数据处理能力还是很优秀的。生成安全事件的报告和警报。
ELK(Elasticsearch、Logstash 和 Kibana)
小丁的博客
05-17 964
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集数据
logstash @timestamp时间时区的问题
05-24
Logstash,@timestamp字段默认情况下是UTC时间,但可以使用date过滤器来将其转换为本地时区。 以下是一个示例配置文件,其使用date过滤器将@timestamp转换为美国洛杉矶时区: ``` input { # 输入数据源 } ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值