本文详细介绍了如何处理logstash在创建索引时因默认时区为UTC导致与东八区相差8小时的问题。由于新版本logstash缺少调整时区的参数,解决方案是创建一个新变量index_date,基于@timestamp并加8小时来生成索引,确保日志正确归档。此外,还分享了正则表达式`T.*Z`的用法来提取时间戳。
问题说明:
1、使用logstash创建索引,默认时区为UTC,与我们东八区相差八小时,如果我们以天创建索引的时候会在早上8点才会创建当天的索引,这就会导致8点以前的日志存在前一天的索引里面,不方便查看。
2、新版本的logstash没有调整时区的参数,需要我们通过修改@timestamp变量参数来解决,但如果我们在时间戳timestamp默认加上8小时会导致在kibana上的时间戳又多了8小时(kibana会替我们转换),所以不能直接修改timestamp
解决方案:通过新增一个变量将timestamp赋予该变量index_date,使用该变量+8小时创建索引
[app@localhost]$ vim logstash-sample.conf
filter {
# 新增索引日期,解决地区时差问题
ruby {
code => "event.set('index_date', event.get('@timestamp').time.localtime + 8*60*60)" #新增变量index_date,值为timestamp + 8小时
}
# timestamp 格式为 2022-02-02T15:25:25,136Z,接下来的操作是要
最低0.47元/天 解锁文章
扫一扫
1357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
