解决logstash创建es索引默认使用@timestamp的UTC时间所导致的时区问题

最新推荐文章于 2023-11-22 10:28:47 发布
最新推荐文章于 2023-11-22 10:28:47 发布
阅读量6.4k 收藏 1
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013905744/article/details/101066225
版权

场景:

有一个用户行为日志的统计,其使用logstash过滤后放到es里面。

脚本是这样

每天记录通过一个field,指定其index名称

放到es指定的index中

问题:

2019.09.17的index

2019.09.16的index 出现了发生在9月17日的document

 

原因:

两个问题:

问题1:

决定数据进入到哪个index中的决定因素是@timestamp,@timestamp是日志上报的时间

logstash将东8区的时间,错误转换为了UTC时间,减去了8个小时,从而导致数据被路由到了9月16日的index中

问题2:

需要补充一个基础知识:logstash中@timestamp作用

In the absence of this filter, logstash will choose a timestamp based on the first time it sees the event (at input time), if the timestamp is not already set in the event. For example, with file input, the timestamp is set to the time of each read.

  • 如果在event中设置了@timestamp这个字段,那么logstash就会复用这个字段

  • 如果event中没有设置,那么就会将时间设置为logstash读取到这个event的时间

我们这里并没有特别处理@timestamp,所以其就是日志上报到logstash的时间

这里包含一个业务知识:我们的上报并不是即时上报的,会发生延时上报的情况,日志真实发生的时候logdatetime与@timestamp并不相同

原因是:

我们的kibana时间filter使用的是生产环境中的实际日志产生的时间:logdatetime

而决定数据进入到哪个index中的决定因素是@timestamp,@timestamp是日志上报的时间

这两个错误叠加,导致问题

解决方案:

很多的解决方案是说 用自己的某个时间字段覆盖掉@timestamp这个字段,但是我并不想这么做,因为@timestamp记录的是这个事件初次被logstash读取的时间(可以认为是上报的时间)

要不就把@timestamp这个字段转换为,比如说reportTimestamp字段,然后把logDatetime字段转换为@timestamp字段,这样就会实现这一天的点击行为都会进入到同一个物理index中。

add_field => {"reportTimestamp" => "%{@timestamp}"}

最后的效果:

可以看到真实发生的时间 与 上报的时间是一致的,并且进入到正确的index中,与日志记录保持一致

而上报的时间reportTimestamp被单独记录下来

这样就会实现这一天的点击行为都会进入到同一个物理index中,对于一天的用户行为统计,可以避免es的跨index查询

const伐伐
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php+logstash+elasticsearch,完美解决索引擎及快速切片问题
01-16
在构建高效的搜索引擎和数据分析系统时,PHP、Logstash和Elasticsearch的组合是一个非常流行的解决方案。这个架构能够帮助企业快速地处理、存储和检索大量数据,同时提供强大的搜索功能和实时数据分析。 首先,PHP...
19-课程索引-Logstash创建索引-安装配置.zip
09-27
在`logstash.conf`中,添加一个`elasticsearch`输出插件,指定Elasticsearch的地址和索引名。例如: ``` output { elasticsearch { hosts => ["localhost:9200"] index => "my_index_name" } } ``` 这将把...
Java 同步JSON字符串至ES(Elasticsearch) 添加时间戳(@timestamp)、版本(@version) 字段
dkgee
03-15 3446
解决方法:仿照logstash同步原理,对于同步json字符串,首先将其解析,然后添加时间戳和版本字段,或其他字段,打入es。 public void insertEs(String jsonStr){ JSONObject jsonObject = JSONObject.parseObject(jsonStr); jsonObject.put("@times...
es7自动添加时间
TreeCode的博客
03-11 9507
需求:根据时间提取es数据 解决:为es的记录添加时间戳 方法: es5.0以前的版本使用的是@time_stamp方式来给document的每一条记录添加时间戳, "properties": { "@timestamp":{ "format":"strict_date_optional_time||epoch_millis", "type":"date" "enabled":
logstash 中关于 @timestamp 时区解决
YoFog的博客
05-08 4446
使用logstash时,默认使用了一个时间字段@timestamp,@timestamp时间使用的是utc时间,在kibana中展示时,一般自己会增加新字段,不影响判断。但是最近需要使用----elastalert,监测waf的拦截日志然后通过企业微信进行告警,触发时间如果再使用--@timestamp,会对一些信息接收人产生误解,所以要将@timestamp时间转换成本地date时间。 综合参考其他人的方案,在logstash中,监测对象配置里的--filter中添加代码是最直接方便的。重启logs.
ElasticSearch6.X版本自动添加时间
图图小淘气的博客
12-15 3183
需求:根据时间提取es数据 解决:为es的记录添加时间戳 1、方法 配置时间戳 pipeline PUT _ingest/pipeline/my_timestamp_pipeline { "description": "Adds a field to a document with the time of ingestion", "processors": [ { "set": { "field": "@timestamp", "value
elasticsearch自动填充时间,并转换为上海时区
weixin_45836627的博客
12-21 1397
有关elasticsearch时间问题
Logstash将日志产生时间替换@timestamp;并且防止Elasticsearch重启ouput
最新发布
qq_28654061的博客
11-22 344
logstash
基于logstash实现日志文件同步elasticsearch
01-19
本文就logstash同步日志到ES做下详细解读。 1、目的: 将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:...
用于SqlServer 同步数据到ElasticSearch的logstash测试
05-14
标题 "用于SqlServer 同步数据到ElasticSearch的logstash测试" 描述了一种通过Logstash将SQL Server数据库中的数据实时或定期同步到ElasticSearch的解决方案。在.NET平台上,这种数据同步通常是为了实现大数据分析、...
elastic-stack:以简单的方式学习 Elasticsearch、Logstash、Kibana 和 Beats
05-31
《弹性堆栈:深入探索Elasticsearch、Logstash、Kibana和Beats》 弹性堆栈(Elastic Stack)是一套由Elastic公司提供的开源工具集合,它包括Elasticsearch、Logstash、Kibana和Beats,常被用于日志分析、实时监控和...
ES自动添加时间
mynameisjinxiaokai的博客
05-24 1329
没有创建索引,则在创建索引语句中添加配置 default_pipeline。如果已经创建索引,则更新setting配置;4、最后向es索引中插入数据验证。1、配置时间戳pipeline。新增和更新时都会刷新此字段的值。解决:为es的记录添加时间戳。需求:根据时间提取es数据。2、配置setting。3、es索引中添加字段。
ElasticSearch索引模板(template)操作:创建、查询、修改、删除
учёба
01-17 1万+
官方文档链接:https://www.elastic.co/guide/en/elasticsearch/reference/6.6/indices-templates.html 一:概述 可以按下面几种方式理解索引模板: 避免每次在创建索引库的时候,都需要手工指定每个索引库的配置信息;索引可以使用索引模板(index template)进行创建,在新建索引时需要进行模板设置包括settings和mappings,通过模式匹配可使多个索引重复使用一个模板。 将已经创建好的某个索引的参数设置(sett
logstash处理@timestamp时区
进击的豌豆的博客
09-08 2332
input { stdin { } } filter { #ruby { # code => "event.set('timestamp', event.get('@timestamp') + 8*60*60)" # code => "event.set('aaa', event.get('@timestamp').time.localtime)" # code => "event.set('bbb', event.timestamp.time.localtime +
时区介绍
Golang客栈
06-08 2264
什么是时区 时区是地球上的区域使用同一个时间定义。为了照顾到各地区的使用方便,又使其他地方的人容易将本地的时间换算到别的地方时间上去。1884年的国际经度会议规规定将地球表面按经线从南到北划分为24个时区,并且规定相邻区域的时间相差1小时。当人们跨过一个区域,就将自己的时钟校正1小时(向西减1小时,向东加1小时),跨过几个区域就加或减几小时。 地球自西向东旋转,东边比西边先看到太阳,东边的...
Logstash学习4_Logstash如何将操作日志中的字符串类型的时间转化成@timestamp
热门推荐
wang_zhenwei的博客
11-10 1万+
问题描述 将类似于:2015/8/26 12:05:00:000000 的数据转化成:2015-08-26T04:05:00.000Z 背景 目标: 将操做日志中的字符串类型的时间格式转化成@timestamp 方法: 首先由于日志的格式有很多种,Logstash自带的正则表达式可能不满足我们的需求,但是我们可以通过grok插件引入自己定义的正则表达式。 具体步骤:
Elasticsearch 存储日期格式字段
【欢迎关注公众号:冬瓜白】
10-23 5198
elasticsearch创建index之后,可以设置mapping,如果mapping中没有设置date的format,那么默认为两种格式: date_optional_time此格式为ISO8601标准示例:2018-08-31T14:56:18.000+08:00 epoch_millis也就是时间戳 示例1515150699465, 1515150699 利用spring data elasticsearch插入日期格式数据的时候,一定要注意日期格式的转换,除此之外,还有日期时间存储的时...
logstash @timestamp时间时区问题
weixin_34095889的博客
12-30 2111
最近使用logstash的作为日志处理工具是发现一个问题,logstash给提供了一个默认时间字段@timestamp,这个时间无论我怎么该他都是0时区时间,没有办法改成+08:00时区时间,后来查了很多资料发现原来是代码直接获取的UTC默认时间,所以无论怎么更改系统时间它都不会改变。这对于我司运维很痛苦,像我提了多次需求。 后来终于找到了修改的办法,在filt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值