date时区 es logstash_elastic date时区问题解决办法

最新推荐文章于 2024-05-11 11:56:20 发布
最新推荐文章于 2024-05-11 11:56:20 发布
阅读量757 收藏
点赞数
文章标签: date时区 es logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39720807/article/details/111968001
版权

之前介绍filter date插件时就谈到时区问题,但是没有说明白。最近在使用range查询时间范围内的数据时出现了数据量不一致的情况。特地了解了下ELK Stack中关于时区的问题。

问题:

使用kibana discovery界面搜索时,数据量一致。使用curl 搜索时少了数据。

再说时间问题前,简单了解下UTC:

UTC(Universal Time Coordinated) 叫做世界统一时间,中国大陆和 UTC 的时差是 + 8 ,也就是 UTC+8。

UTC时区参考文档

查看官方文档后得到的结论:

ELK Stack集群各服务对时间处理的介绍:

logstash :根据所在机器的时区并对date类型数据进行处理,整理成UTC时间

elastic :所有date类型数据都存储为GMT(毫秒级)

kibana :根据kibana配置的时区,从elastic取出的timestamp时间转换为相应时区的时间。

问题原因:

logstash处理后以UTC时间存储进elastic,kibana取出来后,在恢复成相应时区的时间。因为我机器都是CST的时间,所以使用kibana搜索没有问题,但是curl命令不会对所取出来的时间进行时区转换,所以就少了8小时数据。

解决方法:

一:

logstash 过滤字段信息时,删除或分开匹配时间和时区信息,timestamp只匹配具体时间,timezone则匹配+0800这样的时区信息,并同时定义timezone为UTC,这样从根本上就得到原始的时间。

UTC时间的示例:

$ bin/logstash -f text.conf

[26/Mar/2019:00:00:08 +0800] #这里以nginx日志中的时间为例

{

"timestamp" => "26/Mar/2019:00:00:08",

"message" => "[26/Mar/2019:00:00:08 +0800]",

"@timestamp" => 2019-03-26T00:00:08.000Z, #@timestamp的时间和输入的时间一致

"@version" => "1",

"timezone" => "+0800",

"host" => "node2007"

}

$ cat text.conf

input {

stdin {}

}

filter {

grok {

match => {

"message" => "\[%{NOTSPACE:timestamp} %{INT:timezone}\]"

}

}

date {

match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss" ]

timezone => "UTC" #无法从timestamp中提取时区。设置时区为UTC时间,忽略系统时区,如果date插件中的match匹配到了时区,则此处的时区不生效。所以在grok插件中将timezone和timestamp分隔开

}

}

output {

stdout{

codec => rubydebug

}

}

正常时间处理:

$ bin/logstash -f text.conf

[26/Mar/2019:00:00:08 +0800]

{

"@version" => "1",

"@timestamp" => 2019-03-25T16:00:08.000Z, #转换成UTC时间,减少8小时,

"message" => "[26/Mar/2019:00:00:08 +0800]",

"host" => "node2007",

"timestamp" => "26/Mar/2019:00:00:08 +0800"

}

$ cat text.conf

input {

stdin {}

}

filter {

grok {

match => {

"message" => "\[%{HTTPDATE:timestamp}\]"

}

}

date {

match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]

timezone => "UTC"

}

}

output {

stdout{

codec => rubydebug

}

}

系统日志中不带有时区信息,则可以直接在配置文件中指定timezone => "UTC"即可。无需要做匹配工作。

二:

匹配到时区时间没有关系,可以在过滤时,在把时间补回来。

...

date {

match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]

target => "time"

}

ruby {

code => "event.set('timestamp', event.get('time').time.localtime + 8*60*60)" #处理时将logstash自动减少的时间在给加回来

}

ruby {

code => "event.set('@timestamp',event.get('timestamp'))"

}

...

以上代码经过我测试,可以正常使用。这里使用ruby插件,我不懂,time -> timestamp -> @timestamp需要经由两个变量才能最后赋值给@timestamp,为什么不能直接使用@timestamp处理并赋值,如果有懂得的人,还请留言告知。

对时间进行处理后,我们可以使用curl命令随意进行查询啦,但是使用kibana时,还需要设置一下默认的时区: Management -> kibana(高级设置) -> Timezone for date formatting 并选择UTC时间展示。

![](https://img2018.cnblogs.com/blog/1202606/201903/1202606-20190328154358262-1829927564.png)

总结:

ELK Stack一整套组合拳的时区特性特别好用,但是在国内还是统一时区吧。统一时区还是再数据存储前做调整,否则后期查询会流泪的。

weixin_39720807
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java8日期类LocalDate、LocalTime、LocalDateTime使用详解
qq_44749491的博客
04-13 2万+
一文学会Java8新增日期类的各种使用方法
PTP同步(1588协议与802.1区别)
victory_zhang525的博客
04-28 1900
PTP、gPTP、1588、802.1as
kibana解决时间显示格式问题及显示时区设置
最新发布
。。。。
05-11 432
找到 Advanced Settings 或高级设置。3. 修改日期格式 保存。
Java获取当前时区时间LocalDateTime与System.currentTimeMillis
热门推荐
闫玉林的博客
09-04 1万+
全球根据纬度不同,划分不同的时区。对于此时此刻,大家同处同一个时间点,但是,每个时区时间表示是不同的。System.currentTimeMillis() 获取的当前时间与 格林尼治标准时间1970年零点 相差的毫秒数,与时区无关。LocalDateTime.now()获取的是当前时区时间,但它的结果值不带时区属性,把它按照UTC时区计算毫秒数,发现刚好相差8小时
PTP 授时方案学习(5G基站中的应用)
a746742897的博客
08-02 405
PTP时钟之间关系: GPS 作为时钟参考源 ->PTP主时钟->1、1 路 PTP 网口,走iee1588协议 2、1 路串口 3、1PPS
go语言time包的学习(Time,Location,Duration,Timer,Ticker)
weixin_33918114的博客
05-26 188
package main; import ( "time" "fmt" ) func main() { //time.Time代表一个纳秒精度的时间点 var t time.Time; //返回当前时间 t = time.Now(); fmt.Printf("%v\n", t); //反回所在时区 fmt.Printf("%v\n", t.Lo...
elasticsearch_ES_Elasticsearch界面_elasticsearch_源码
10-04
**Elasticsearch(ES)详解** Elasticsearch是一款开源、分布式、实时的全文搜索引擎,它基于Lucene构建,被广泛用于大数据分析、日志聚合、实时搜索和索引等场景。其强大的功能和易用性使得它在IT行业中备受青睐。...
Elasticsearch_Logstash_Kibana
11-25
日志处理一篮子解决方案文档. Elasticsearch_Logstash_Kibana,三个文档中文版。
openresty_nginx_logstash_kibana_elasticsearch_centos6:如何在centos6上安装(openresty + nginx + logstash + kibana + elasticsearch)
05-01
openresty_nginx_logstash_kibana_elasticsearch_centos6 如何在centos6上安装(openresty + nginx + logstash + kibana + elasticsearch) 一些帮助和启发的链接: 安装openresty 假设机器上已经安装了nginx。 ...
php+logstash+elasticsearch,完美解决搜索引擎及快速切片问题
01-16
在构建高效的搜索引擎和数据分析系统时,PHP、LogstashElasticsearch的组合是一个非常流行的解决方案。这个架构能够帮助企业快速地处理、存储和检索大量数据,同时提供强大的搜索功能和实时数据分析。 首先,PHP...
用于批量启动elasticsearch、logstash、kibana的批处理脚本
08-15
用于批量启动elasticsearch、logstash、kibana的批处理脚本
1588协议详解
08-05
1588协议描述 详细的MAC描述
Python标准库:datetime 时间和日期模块 —,腾讯T3亲自讲解
2401_83740129的博客
03-22 859
dt.isoformat(sep,timespec) | 返回该日期时间的’xxxx-xx-xx xx:xx:xx’字符串格式,sep为日期和时间间的分隔符,默认为T,timespec为时间部分显示模式选择(参见示例),如果该时间相比。dt2 = datetime(2021,1,1,12,59,59,tzinfo=timezone(timedelta(hours=8),name=‘Beijing’)) #自定义时区名称。所有参数都可选,可为int、float和正数、负数。
IEEE 1588协议V1与V2对比
HHXUN的博客
05-27 1万+
      与IEEE1588v1相比,IEEE1588v2最大的改进之处在于提出透明时钟模型的概念。透明时钟主要用于计算报文在网络交换设备内部的延迟,解决级联网络中的积累性误差问题,从而提髙时钟同步的精度。端到端透明时钟和点到点透明时钟都可用于计算报文在网络交换设备内部的驻留时间,但是二者对链路延迟的测量机制不同,不能够混用。       为了实现时钟同步,需要保证网络中各节点的时钟实时得到报文...
java8 localDateTime与 Date互相转化
xiaojuge的博客
09-24 285
1. 将LocalDateTime传化成 Date LocalDateTime ldt = LocalDateTime.now(); Date date =Date.from(ldt.atZone(ZoneId.systemDefault()).toInstant()); 2. 将Date转化成 LocalDateTime Date date =new Date(); LocalDateTi...
ptp1588v2实现方案
growdu的网络博客
06-29 967
ptp1588v2实现方案
IEEE1588
jun7118的博客
05-24 1373
## 精度影响因素:(精度要求130ns) SLAVE端: timer的ts记录点,分别为phy,mac,协议栈(软件timer),精度递减。 1、硬件Timer(phy,mac)。 1、内部Timer的tick最小粒度。 如果是100M频率,则时间粒度10ns,则Slave自己固有误差(2~3)×10ns,大约20ns左右。 2、时钟频率源(晶振)的精确度,PPM...
IEEE1588精确网络时钟同步协议简介
Noahyo的博客
03-10 8118
[首发于cnblogs,转载请注明。作者:byeyear/告别年代 Email:east3@163.com] 在阅读本文之前,假定您对以太网和NTP有一定的了解。 至少您应该大致理解以下名词或缩写: NTP,MAC,PHY,TimeStamp IEEE1588是一个主要运行于以太网的网络时钟同步协议,主要目标是在局域网范围内实现高于微秒级的同步精度。与常见的时钟同步协议NTP相比,区...
Java8新特性 - LocalDateTime 类的基本使用
northcastle的博客
03-27 5492
1.说明 LocalDateTime 是 Java8 中提供的 日期+时间的对象, 日期 包含 年、月、日 信息 时间包含 小时、分钟、秒、纳秒 信息 此对象默认使用系统时区,例如中国使用 【东八区】 2.常用API 2.1 创建LocalDateTime 对象 * 1.创建日期时间对象 * 1.1 获取当前日期时间对象 * LocalTime.now() : 获取默认时区下的系统时钟的时间 * LocalTime.now(Clock clock) : 获取指定时钟的时
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
"ELK日志归集是一个用于管理和分析日志数据的解决方案,由Elastic Stack中的Elasticsearch、Logstash、Kibana(ELK)以及Filebeat组件构成。此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集中利用Filebeat和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值