【逗老师带你学IT】ElasticSearch+Logstash导入历史日志并修改@timestamp时间为日志的产生时间

最新推荐文章于 2023-03-13 19:32:01 发布
最新推荐文章于 2023-03-13 19:32:01 发布
阅读量681 收藏 1
点赞数 1
分类专栏: 网络攻城狮的世界 疑难杂症小技巧 文章标签: elasticsearch logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytlzq0228/article/details/117084222
版权

Logstash在导入历史日志的时候,默认时间戳是现在实时的时间,后期搜索的时候会产生诸多不便。本文介绍在导入日志的时候如何实现修改@timestamp时间为日志的产生时间。
同时,顺便简单介绍下如何从文本文件导入日志。

一、准备

今年是2021年,但是我们准备了一份2019年的日志文件,大概长这样。

2019-11-08 20:26:11	Local7.Info	10.153.0.10	Apr 14 2000 19:20:57 CSDN-BJ-08F-LAN-SW-01 %%01POE/6/PORTPW(l)[19]:Port GigabitEthernet0/0/3 current power is 2295.
2019-11-08 20:26:23	Local7.Info	10.152.20.1	Nov  8 20:26:21 2019 CSDN-SZ-10F-MDF-New-H3C-CORE-SW %%10SHELL/6/SHELL_CMD: -Line=vty0-IPAddr=10.152.128.222-User=admin; Command is dis ip int brief 
2019-11-08 20:26:31	Local7.Warning	10.152.250.3	Nov  8 2019 12:26:31 CSDN-SZ01-8F-MDF-01-AggSW-01 %%01IFPDT/4/IF_STATE(l)[73]:Interface GigabitEthernet1/0/8 has turned into DOWN state.
2019-11-08 20:26:31	Local7.Warning	10.152.250.3	Nov  8 2019 12:26:31 CSDN-SZ01-8F-MDF-01-AggSW-01 %%01IFADP/4/PORTDOWNINFO(l)[74]:Interface GigabitEthernet1/0/8 has turned into DOWN state.

这个文件是以tab为分隔符,总共四列,对于Logstash而言,只要文件是以固定的分隔符分割就可以,逗号,tab,空格都是支持的。
把这个文件保存成txt文件,保存到任意目录下,待会能找到就行。例如逗老师把这个文件保存在/root下
在这里插入图片描述

二、编写Logstash conf文件

直接贴个例子,详细的解释看注释。

input {
  file {
    path => ["/root/SyslogCatchAll-2019-11-08.txt"]#日志文件
    start_position => "beginning"#从头开始读,默认是从结尾网上读
    sincedb_path => "/dev/null"#导入记录数据库,调试期间可以配置为null,这样同一个源文件可以重复导入
  }
}


filter {
    csv {
        separator => "      "#配置分割字符,本文是tab,那这里就敲一个真实的制表符
        columns => ["timestamp","severity_label","logsource","message"]#定义四列的标题
    }
    
    date {
        #date模块来处理时间戳相关的信息
        match => ["timestamp", "yyyy-MM-dd HH:mm:ss"]
        #匹配日志源文件中时间格式为2019-11-08 20:26:31(yyyy-MM-dd HH:mm:ss)
        target => "@timestamp"
        #将匹配到的时间戳传递给系统变量,@timestamp
    }

    mutate {
        #根据需要自行选择提出某些字段
        remove_field => ["@version","severity","facility","facility_label","priority","host"]
    }
}


output {
  #输出到ES
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "syslog-message-history-data"
    #user => "elastic"
    #password => "changeme"
  }
}

编辑完成后将文件保存为/root/logstash_import.conf

三、运行导入

使用-f参数手动运行logstash,并附带刚才编辑好的conf文件。

/usr/share/logstash/bin/logstash -f /root/logstash_import.conf

系统哗啦啦哗啦啦的跑完之后,去kibana里看效果。
可以看到,现在是2021年,但导入日志的时间戳为日志产生的时间,2019年
在这里插入图片描述

逗老师
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
logstash elasticsearch ealstalert 关于@timestamp的处理
qq_22398523的博客
06-18 2059
一、需求 1、logstash采集日志数据,并将日志数据写入 ES 集群中,其中@timestamp采用北京时间(默认为ISO8601) 2、elastalert 间隔60秒运行一次规则文件,如果查询到匹配规则文件的日志,则告警。elastalert默认是查询 @timestamp,并在内部转换为 ISO8601 格式的时间。 二、解决方案 1、 logstash 执行时指定的配置文件,在...
LogstashElasticsearch 吐数时的@timestamp问题处理
nyyjs的专栏
05-26 8317
@timestamp的8小时的问题的解释,请参考http://blog.csdn.net/shan1369678/article/details/51375537 ,解释的很详细。在这里结合我自己的项目,来谈对这个问题的理解。对ES中的某条日志,有如下两个字段: 和 DATETIME 是日志生成的时间戳,我们并不清楚该日志的来源,故不能确定该日志是否是UTC还是UTC+8。但一般来说,很可
Elasticsearch为记录添加时间戳timestamp
热门推荐
王浩的技术博客
08-02 8万+
时间戳(timestamp)是表明某条数据产生时间,代表了此数据在一个特定时间点已经存在的证据。本文描述了在Elasticsearch中添加时间戳的方式:手动和自动两种。
Elasticsearch:从 Elastic Stack 中的时间戳谈开去
Elastic 中国社区官方博客
08-11 2285
时间戳,也就是 timestamp, 它在许多的事件中,特别是时序数据中是一个不可少的字段。它记录事件或文档的时间。在我们对数据可视化时,也是非常重要的一个字段。针对时序时间,在我们对数据创建 index patterns 或者 date views 时,我们需要选择时间戳的字段。...
ElasticSearch6.X版本自动添加时间
图图小淘气的博客
12-15 3202
需求:根据时间提取es数据 解决:为es的记录添加时间戳 1、方法 配置时间戳 pipeline PUT _ingest/pipeline/my_timestamp_pipeline { "description": "Adds a field to a document with the time of ingestion", "processors": [ { "set": { "field": "@timestamp", "value
ElasticSearch + Logstash 自动同步mysql数据
最新发布
01-04
**Elasticsearch + Logstash 自动同步MySQL数据详解** 在大数据时代,实时、高效的数据处理与分析成为企业不可或缺的能力。Elasticsearch作为一个强大的全文搜索引擎,以其高性能、分布式、易扩展的特点,广泛应用...
SpringBoot继承LogStash实现日志收集的方法示例
08-26
在开始之前,需要安装 Elasticsearch、Kibana 和 LogStash,这三个组件是实现日志收集的基础架构。Elasticsearch 是一个搜索引擎,Kibana 是一个数据可视化工具,而 LogStash 是一个日志收集器。 二、配置 ...
python实时监控logstash日志代码
09-16
Python 实时监控 Logstash 日志代码是用于监测 Logstash 输出的日志信息,当发现特定的错误关键词时,它会触发警报。Logstash 是一款强大的数据处理管道工具,常用于日志管理和分析。通过 Python 编写的监控脚本,...
logstash日志抓取搭建
04-26
在这个例子中,Logstash从指定的日志文件路径读取数据,使用Grok插件解析日志格式,将时间戳转换为Elasticsearch可理解的格式,并将处理后的数据发送到本地运行的Elasticsearch实例。 **4. 启动与监控Logstash** ...
elktail, 用于查询搜索和跟踪 EL ( elasticsearchlogstash ) 日志的命令行 实用程序.zip
09-18
elktail, 用于查询搜索和跟踪 EL ( elasticsearchlogstash ) 日志的命令行 实用程序 ElktailElktail是用于查询和跟踪 ELK ( elasticsearchlogstash,kibana ) 日志的命令行 实用工具。 尽管它是强大的,但使用...
五分钟你玩转Elasticsearch(十五)logstash@timestamp时区早8个小时解决方案
小鲍侃java
01-18 869
修改/logstash/bin中的配置文件 在filter中添加 ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)" } ruby { code => "event.set('@timestamp',event.get('timestamp'))" } mutate { re
Elasticsearch查询相关总结以及timestamp和时区问题
weixin_43478836的博客
10-09 5012
ES查询相关 参考:https://www.cnblogs.com/qdhxhz/p/11493677.html 如果想筛选出特定时间段的event,可以在查询语句里使用post_filter POST /wangtest_re/_search { "post_filter":{ "range": { "@timestamp": { "gte": "2012-08-01T15:00:00.000+800", "lte": "2012-08-01T1
elasticsearch进阶
qiu18610714529的博客
11-30 436
原理
高效管理 Elasticsearch 中基于时间的索引
程序员阿飘 的博客
03-13 334
Elasticsearch 来索引诸如日志事件等基于时间的数据的人可能已经习惯了“每日一索引”模式:使用以天为粒度的索引名字来存放当天的日志数据,一天过去后再建一个新索引。新索引的属性可以由来提前控制。这种模式很容易理解并且易于实现,但是它粉饰了索引管理的一些复杂的地方:为了达到较高的写入速度,活跃索引分片需要分布在_尽可能多的_节点上。为了提高搜索速度和降低资源消耗,分片数量需要_尽可能地少_,但是也不能有过大的单个分片进而不便操作。
ELK系列(五)、Logstash修改@timestamp时间日志产生时间
王义凯 的博客
05-23 1万+
上一篇讲了如何使用Logstash监控nginx日志并打印到控制台或导入到ES中,在kibana的discover中我们可以根据@timestamp时间对数据进行过滤和排序,但这里显示的@timestamp时间是指logstash读取到日志时间而不是日志真正产生时间,本篇就介绍如何配置使logstash在采集日志的过程中使用日志的真实时间戳作为消息体的时间戳,便于我们之后的分析 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0 ELK系
五分钟你玩转Elasticsearch(十六)logstash@timestamp映射为其他字段
小鲍侃java
01-18 1067
楼主在使用spring boot查询es时遇到一个问题 想使用时间进行筛选 但是在spring boot中@timestamp获取不到 想法是在插入时 根据@timestamp复制一个字段 配置方案 修改/logstash/bin中的配置文件 在filter中添加 ruby { code => "event['time'] = event['@timestamp']" } mutate { add_field => ["tim.
logstash采集与清洗数据到elasticsearch案例实战
糯米鸡的博客
10-28 9442
logstash 的使用 logstash支持把配置写入文件 xxx.conf,然后通过读取配置文件来采集数据 ./bin/logstash –f xxx.conf   logstash最终会把数据封装成json类型,默认会添加@timestamp时间字段、host主机字段、type字段。原消息数据会整个封装进message字段。如果数据处理过程中,用户解析添加了多个字段,则最终结果又会多
Java 同步JSON字符串至ES(Elasticsearch) 添加时间戳(@timestamp)、版本(@version) 字段
dkgee
03-15 3465
解决方法:仿照logstash同步原理,对于同步json字符串,首先将其解析,然后添加时间戳和版本字段,或其他字段,打入es。 public void insertEs(String jsonStr){ JSONObject jsonObject = JSONObject.parseObject(jsonStr); jsonObject.put("@times...
es用python增加字段_使用Python在ElasticSearch中添加@timestamp字段
weixin_39997300的博客
12-10 543
我正在使用Python在本地ElasticSearch中添加条目(localhost:9200)目前,我使用这种方法:def insertintoes(data):"""Insert data into ElasicSearch:param data: dict:return:"""timestamp = data.get('@timestamp')logstashIndex = 'logstas...
filebeat采集到的日志数据传入logstash后如何放入不同的Hashmap
03-24
请使用logstash的filter插件,使用grok模式匹配日志数据并将它们放入不同的字段中,然后使用output插件将数据推送到不同的Hashmap中。具体可以参考以下配置: filter { grok { match => { "message" => "%{...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逗老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值