本文介绍了logstash在创建按日索引时出现8小时延迟的解决方案,包括通过filter模块调整时区、使用date filter映射日志日期、修改logstash配置文件中的时区设置,以及通过ruby filter进行时间调整。同时,文章提醒了这些解决方案可能对Elasticsearch搜索语句的影响。
logstash-2.3.1按日产生索引(%{+YYYY.MM.dd})产生时间比预计晚8小时问题
由于Elasticsearch、Logstash内部,对时间类型字段,是统一采用 UTC 时间,outputs/elasticsearch中常用的 %{+YYYY.MM.dd}
这种写法必须读取 @timestamp,为了解决索引产生的时间问题,必须先解决@timestamp时区问题。结合网上资料有以下几种思路:
一:使用filter(目前使用)
filter{
ruby {
code => "event.timestamp.time.localtime"
}
}
或
filter{
ruby {
code => "event['@timestamp'] = LogStash::Timestamp.coerce(event['@timestamp'].time.localtime)"
}
}
@timestamp将采用系统当前时间
二:如果需要将日志文件中的日期映射成@timestamp,可以使用以下类似配置
filter{
date {
match => ["logdate", "yyyyMMddHHmmssSSS"]
loca
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
