logstash 写入数据到elasticsearch 索引相差8小时解决办法

最新推荐文章于 2024-07-24 17:56:14 发布
最新推荐文章于 2024-07-24 17:56:14 发布
阅读量4.9k 收藏 3
点赞数
文章标签: elasticsearch logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881331/article/details/88313045
版权

问题说明

Logstash用的UTC时间, logstash在按每天输出到elasticsearch时,因为时区使用utc,造成每天8:00才创建当天索引,而8:00以前数据则输出到昨天的索引

# 使用logstash写入elasticsearch时的配置
output {
  elasticsearch {
    id => "logstash-%{+YYYY.MM.dd}"
  }
}

logstash和elasticsearch是按照UTC时间的,kibana却是按照正常你所在的时区显示的,是因为kibana中可以配置时区信息。

解决问题

  1. 添加一个字段

    该字段利用logstash的fileter进行生成,由多种方式实现,新生成的字段为timestamp如下

    # ruby 插件实现
ruby {
	code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"
}

# grok 从日志正则匹配得到
grok {
	match => {"message"=> "%{TIMESTAMP_ISO8601:timestamp}"}
}

# date 把日志时间重写为@timestamp
#date {
#    match => ["message", "^\[(?<timestamp>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}.\d{3})"]
#    target => "@timestamp"
#    timezone => "+08:00"
#}

  2. 用mutate插件对数据进行转换,提取想要的日期字段

    # convert转换为string类型,gsub只处理string类型的数据,在用正则匹配,最终得到想要的日期
mutate {
     convert => ["timestamp", "string"]
     gsub => ["timestamp", "T([\S\s]*?)Z", ""]
     gsub => ["timestamp", "-", "."]
}

  3. 配置output

      elasticsearch {
        hosts => ["localhost:9200"]
        index => "log-%{timestamp}"
      }

注意:在使用grok进行正则匹配是,可以使用的方法可以参考这里
https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns
https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
grok 测试平台
http://grokdebug.herokuapp.com/

40kuai
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash-2.3.1按日产生索引(%{+YYYY.MM.dd})产生时间比预计晚8小时问题
好好学习,天天向上!
04-26 6412
logstash-2.3.1按日产生索引(%{+YYYY.MM.dd})产生时间比预计晚8小时问题   由于ElasticsearchLogstash内部,对时间类型字段,是统一采用 UTC 时间,outputs/elasticsearch中常用的 %{+YYYY.MM.dd} 这种写法必须读取 @timestamp,为了解决索引产生的时间问题,必须先解决@timestamp时区问题。...
logstash同步数据到ES时间相差8小时问题
Dxy1239310216的博客
01-16 3298
问题描述 使用 logstash 从 mysql 同步数据到 ES。发现同步到 ES 中的新闻数据时间字段比 mysql 中的时间少8小时。 问题原因 logstash 默认时区是0时区,而中国是东八区。 解决方法 在 logstash 同步代码中加入过滤器,对时间字段加8小时处理。logstash 同步代码中加入如下代码。 filter{ ruby { code => "event.set('time', event.get('time').time
logstash 读取MySQL数据elasticsearch 相差8小时解决办法
北凉徐凤年的博客
03-01 238
logstash 读取MySQL数据elasticsearch 相差8小时解决办法
logstash同步UTC时间小8小时问题
zhanglong_longlong的专栏
06-05 761
filter{ ruby { code => "event.set('ret_date_datetime', event.get('ret_date_datetime').time.localtime + 8*60*60)" }ruby { code => "event.set('renew_date_datetime', event.get('renew_date_datetime').t...
logstash@timestamp时间差8小时导致数据到前一天的索引
qq_35865336的博客
04-09 2822
问题:logstash@timestamp时间差8小时导致数据到前一天的索引中,比如凌晨00:57的数据跑到了前一天的索引中 很多文章的解决办法,是在原来的@timestamp的基础上进行+8小时来解决了,但我后来试过还是有问题。 给出我自己试验后的解决方案: 日志: 2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO com.yh.stock.controller.StockController - 库
logstash timestamp时间差8小时问题及解决
xinguopeng的博客
07-24 6216
最近在测试使用logstash数据从redis同步到es,并且按小时生成文本,但是在使用中发现logstash中的时间与服务器时间差8小时,导致@timestamp字段中的时间不对,并且生成文本名字中的时间不对,影响后续流程处理,logstash版本6.3.2,解决方式如下,不需要修改源码: input { redis { host => "127.0.0.1" port =...
logstash5.6.1向es导入oracle数据数据
09-29
3. **数据输出到Elasticsearch**(`output`):在`output`阶段,配置Elasticsearch的节点地址和索引名,确保数据正确写入。配置示例: ``` output { elasticsearch { hosts => ["localhost:9200"] index => ...
解决ElasticSearch 7.x 设置大分片的时,导入数据发生rejected 429
01-20
在使用Elasticsearch 7.x 版本时,遇到导入大量数据到设置有大量分片(例如100个)的索引时,可能会遇到"rejected 429"错误。这个错误通常与Elasticsearch的资源管理和保护机制有关,即服务器在处理请求时达到了其...
elasticsearch或kafka的数据抽取工具:logstash-5.6.1
12-02
- **索引管理和映射**:Logstash 可以在将数据推送到 Elasticsearch 时自动创建索引和映射,或者根据预定义的配置进行。 3. **Logstash 与 Kafka 的集成**: - **Kafka 输入**:Logstash 通过 Kafka 输入插件可以...
logstash数据从mysql导入es所需mysql的jar包
10-22
总结来说,Logstash通过JDBC输入插件连接到MySQL,执行SQL查询来获取数据,然后经过可能的数据处理步骤,最终通过Elasticsearch输出插件将数据写入ES。在这个过程中,正确配置JDBC驱动的路径和版本,以及编写适当的...
ELK解决8小时的时间误差
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
elasticsearch+kibana+logstash ELK资料整理
05-11
Logstash 是一个数据收集和处理管道工具,它可以从各种来源(如日志文件、数据库等)收集数据,然后通过过滤器进行清洗、转换,最后将处理后的数据发送到存储系统(如 Elasticsearch)。Logstash 的关键特点有: 1....
logstash 数据采集时间差8小时问题及解决
500Error
07-03 1686
只要在input中增加 jdbc_default_timezone =>"Asia/Shanghai" input { jdbc { jdbc_driver_library => "/root/logstash-6.7.1/myconfig/mysql-connector-java-5.1.46.jar" jdbc_driver_class => "com.mysql.jdbc.Driver" jdbc_connection_string =&g...
Elasticsearch 滞后8个小时等时区问题,一网打尽!
qq_34905631的博客
04-21 1699
我们看一下东8区百度百科定义:东八区(UTC/GMT+08:00)是比世界协调时间(UTC)/格林尼治时间(GMT)快8小时的时区,理论上的位置是位于东经112.5度至127.5度之间,是东盟标准的其中一个候选时区。是:各个处理端时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstashElasticsearch 是UTC时区。ingest 预处理时区的好处:方便、灵活的实现了写入数据的时区转换。那么问题就转嫁为:写入的时候转换成给定时区(如:东8区)就可以了。
flume建立ElasticSearch索引时间的问题
weixin_33672400的博客
01-05 140
2019独角兽企业重金招聘Python工程师标准>>> ...
解决logstash时区相差8小时问题最详细解答
yongyong169的博客
03-01 3998
解决logstash索引差八小时的问题
elasticsearch8版本以上使用logstash同步数据
火星coder的博客
01-06 946
elasticsearch8版本以上使用logstash同步数据
Logstash: timestamp时间差8小时问题及解决
把伤痕当酒窝
03-13 3741
场景 通过metricbeat收集服务器系统日志,metricbeat中的日志发送到kafka中 Logstash中的时间为格林威治时间,因此通过logstash采集到的数据和我们的时间会有8小时的时差 如果在后续代码中处理很有可能会处理遗漏掉,造成数据的时间错误。 版本 logstash 7.6.0 解决方案如下 input { beats { port =&g...
Git教程
最新发布
qq_62892403的博客
07-24 846
基本的Linux命令学习Git配置所有的配置文件都保存在本地查看不同级别的配置文件查看Git用户标识表示Git没有配置设置用户名和邮箱(用户标识,必要)当你安装Git后首页要做的事情就是设置你的用户名和e-mail地址,这很重要,因为每次Git提交都会使用该信息。它被永远的嵌入到你的提交中只需要做一次这个设置,如果你传递了–global选项,因为Git将总是会使用该信息来处理你的系统中所做的一切操作。
logstash数据到es
07-13
数据写入Elasticsearch(ES)是Logstash的一项常见任务,因为ES是一个分布式搜索和分析引擎,非常适合存储和查询结构化数据。 在Logstash中,你可以通过配置插件来实现这个功能。以下是基本步骤: 1. 安装和启动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值