ElasticSearch里面关于日期的存储方式,解决差8个小时

最新推荐文章于 2025-11-03 16:20:00 发布
原创 最新推荐文章于 2025-11-03 16:20:00 发布 · 3.1w 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Elasicsearch #差8小时

本文讲解ElasticSearch中时间字段的处理方式,包括时区差异、时间格式化、日期聚合查询等关键操作,并提供Java代码示例。
在ElasticSearch里面最常用的就是时间字段了,经常会在群里看到一些小伙伴提出有关时间的问题,为什么es查询的时间跟我实际看到的时间差8个小时呢。如果我们了解了ElasticSearch底层的时间存储方式就会比较容易的理解这个问题。 

下面散仙先普及下时区的知识,想必大家也不陌生学过地理的同学都知道全球有24个时区每个时区的跨度是经度15度, 


相较于两地时间表,可以显示世界各时区时间和地名的世界时区表(World Time),就显得精密与复杂多了,通常世界时区表的表盘上会标示着全球24个时区的城市名称,但究竟这24个时区是如何产生的?过去世界各地原本各自订定当地时间,但随着交通和电讯的发达,各地交流日益频繁,不同的地方时间,造成许多困扰,于是在西元1884年的国际会议上制定了全球性的标准时,明定以英国伦敦格林威治这个地方为零度经线的起点(亦称为本初子午线),并以地球由西向东每24小时自转一周360°,订定每隔经度15°,时差1小时。而每15°的经线则称为该时区的中央经线,将全球划分为24个时区,其中包含23个整时区及180°经线左右两侧的2个半时区 
就全球的时间来看,东经的时间比西经要早,也就是如果格林威治时间是中午12时,则中央经线15°E的时区为下午1时,中央经线30°E时区的时间为下午2时;反之,中央经线15°W的时区时间为上午11时,中央经线30°W时区的时间为上午10时。以台湾为例,台湾位于东经121°,换算后与格林威治就有8小时的时差。如果两人同时从格林威治的0°各往东、西方前进,当他们在经线180°时,就会相差24小时,所以经线180°被定为国际换日线,由西向东通过此线时日期要减去一日,反之,若由东向西则要增加一日。 


几个时间名词: 
  1. GMT:格林威治标准时间 
  2. UTC:世界协调时间 
  3. DST:夏日节约时间 
  4. CST:中国标准时间 
其中GMT时间可以近似认为和UTC时间是相等的,但从精度上来说UTC时间更精确。其误差值必须保持在0.9秒以内 

CST= GMT + 8 =UTC + 8 

从上面可以看出来中国的时间是等于UTC时间+8小时,es默认存储时间的格式是UTC时间,如果我们查询es然后获取时间日期默认的数据,会发现跟当前的时间差8个小时,这其实是正常的,因为es默认存储是用的UTC时间,所以我们需要做的就是读取long型时间戳,然后重新格式化成下面的时间戳,即可获得正确的时间 :

yyyy-MM-dd HH:mm:ss
像差8个时区的事情,最容易见到的就是,我们使用logstash收集的日志,发送到es里面,然后通过head查询就能发现不一致,但是如果我们用kibana查询,就不会发现时区问题,为什么? 因为kibana已经处理时区问题了,所以在kibana的页面显示的时间是正确的。 

此外在使用Java Client聚合查询日期的时候,需要注意时区问题,因为默认的es是按照UTC标准时区算的,所以不设置的聚合统计结果是不正确的。 

在es的DateHistogramBuilder里面有几个比较重要的参数:

field:指定按那个字段聚合  
interval:聚合的时间单位(年,季度,月,周,天,小时,分钟,秒)  
format:日期格式  
time_zone:时区指定  
offset:时间偏移量

注意,默认不设置时区参数,es是安装UTC的时间进行查询的,所以分组的结果可能与预期不一样,所以我们要指定时区为Asia/Shanghai代表北京的时区,这样才能获取正确的聚合结果 

curl方式如下: 

GET my_index/_search?size=0  
{  
  "aggs": {  
    "by_day": {  
      "date_histogram": {  
        "field":     "ctime",  
        "interval":  "day",  
        "time_zone": "Asia/Shanghai"  
      }  
    }  
  }  
}

Java代码如下: 

SearchRequestBuilder search = client.prepareSearch("search2017-02*").setTypes("log");  
DateHistogramBuilder dateagg = AggregationBuilders.dateHistogram("dateagg");  
dateagg.field("ctime");//聚合时间字段  
dateagg.interval(DateHistogramInterval.DAY);//按天聚合第一天的0点到第二天的0点  
dateagg.timeZone("Asia/Shanghai");//指定时区  
dateagg.offset("+8h");//默认都是从0点开始计算一天的,通过这个offset,我们可以把第一天的6点到第二天的6点当做一天来聚合  
search.addAggregation(dateagg);  

Histogram hs= search.get().getAggregations().get("dateagg");  
List<Histogram.Bucket> buckets =   (List<Histogram.Bucket>) hs.getBuckets();//获取结果  
for(Histogram.Bucket bk:buckets){  
//下面的转化,也是因为默认是UTC的时间,所以我们要获取时间戳,自己转化  
    System.out.println(new DateTime(Long.parseLong(bk.getKeyAsString()+"")).toString("yyyy-MM-dd HH:mm:ss") +"  "+bk.getDocCount());  
}  
client.close();
上面的这个例子,基本涵盖了日期聚合核心功能,其中时区和偏移量时两个非常有用的而且需要特别注意的参数,不设置时区直接统计结果肯定是不准确的,offset偏移量这个参数,在某些时刻也是有用的,它可以自己定义一天的开始,比如设置从第一天的3点到第二天的3点为一天,默认都是从0点开始0点结束算做一天的,最后一点需要注意的是在输出打印时间的时候也要考虑转化因为默认也是UTC的时间,所以我们直接取出时间戳,自己格式化时间即可。 

官网文档: 

https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-bucket-datehistogram-aggregation.html  
解决 PostgreSQL 同步到 ES 后时间类型少了 8 小时
数据同步
01-19 826
在源端,我利用 PostgreSQL(PG)的 Write-Ahead Logging(WAL)日志来实现实时同步,将 WAL 转换为 ES 的相关写入操作。在 Kibana 设置中查看后,发现其设置为 UTC,即不会默认进行任何时区转换,因此我们推断问题出现在 SYNC 程序的时间处理中。风险就出在这里,如果系统安装时时区未正确设置,将导致程序获取的默认时区与预期不符,从而引发异常。然而,在将数据写入 ES 后,我们却发现 Timestamp 类型的数值少了 8小时。后,时间减少了 8 小时
Elasticsearch——映射、类型、映射参数详解
smart_an的专栏
07-29 1289
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Elasticsearch Date类型数据默认格式:将数据写入es的时间后再读取出来缺少8小时原因
热门推荐
AI_girls的博客
06-26 3万+
一、问题描述把想要的数据通过同步工具从MySQL中写入es中存储,然后从搜索后台管理系统读取数据列表,发现时间显示比数据库中显示的时间要提前8小时。二、问题分析首先在索引里面查看了时间数据的存储格式为世界时间,默认是0时区,但是我们一般用的是北京时间东八区,因此间隔了八小时。直接转过来的时间是:但实际上数据库里面存储的时间是:我们需要最终显示的是时间是和存在数据库中的北京时间一致。搜索的数据来源于...
Elasticsearch 8 安装与配置
最新发布
shijin741231的博客
11-03 1146
安装部署ElasterSearch 8.19.3集群,说明ES集群相关配置项,包括:集群组成环境、集群架构、集群节点属性、集群节点配置,集群节点绑定CPU节点,集群节点启停脚本
ElasticSearch里面关于日期存储方式
三劫散仙
04-01 1万+
ElasticSearch里面最常用的就是时间字段了,经常会在群里看到一些小伙伴提出有关时间的问题,为什么es查询的时间跟我实际看到的时间8小时呢。如果我们了解了ElasticSearch底层的时间存储方式就会比较容易的理解这个问题。 下面散仙先普及下时区的知识,想必大家也不陌生学过地理的同学都知道全球有24个时区每个时区的跨度是经度15度, 相较于两地时间表,可以显示世界各时区
数据存入es 时间8小时
weixin_62812758的博客
12-19 4335
从上面可以看出来中国的时间是等于UTC时间+8小时es默认存储时间的格式是UTC时间,如果我们查询es然后获取时间日期默认的数据,会发现跟当前的时间8小时,对于es来说这其实是正常的。其中GMT时间可以近似认为和UTC时间是相等的,但从精度上来说UTC时间更精确。这种现象其实是正常的,因为es默认存储时间的格式是UTC时间,我们一般用的是UTC+8。3、ES默认是UTC时间,将时间+8h后存入ESdate类型字段;2、将时间以时间戳的形式存入ES中long类型字段;(2)UTC:世界协调时间。
ElasticSearch - ElasticSearch中的时间数据比实际少8小时问题
你今天真好看呀
06-03 1955
在往 ElasticSearch 中存了20条数据,当使用kibana查询时,可以看到Elasticsearch 中的时间数据比实际少8小时: 在后台利用代码往 ElasticSearch 中存入时间数据时,使用的是当前时间,所在时区为东八区。https://1024tools.com/timestamp,当前时间 : 当前时间 按(UTC+8)对应的时间戳为:存入ES的时间戳为: ,按(UTC+0)对应的时间为:。正好比正常时间少了8小时。......
Elasticsearch中的date与时区问题
不见其长,日有所长
06-23 1万+
1 前言 本文主要讲解Elasticsearchdate类型数据的底层存储原理,以及对带时区日期字符串和不带时区的日期字符串如何在ES底层存储进行验证。对于直接存储Long类型时间戳,不作过多描述。 1.1 Date类型数据的存储 UTC(Universal Time Coordinated) 叫做世界统一时间,中国大陆所用的时间是东8区时间,比UTC时间超前8小时。即与 UTC 的时是 +8 ,也就是 UTC+8。 在Elasticsearch内部,不论 date 是什么展示格式,所有date类型数据
Elasticsearch
weixin_55261016的博客
06-15 2761
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集
关于Amazon elasticsearch整合kibana 实现照数据的恢复及用户权限的设置问题
qq_38075749的博客
03-24 1092
关于Amazon elasticsearch整合kibana 实现照数据的恢复及用户权限的设置问题第一步: 搭建elasticsearch整合kibana第二步:完成旧版本elasticsearch照数据拷贝到新elasticsearch的迁移部署第三步:role权限控制 前言: 本人是刚进入aws 领域的,对很多aws官方用语或者其他表现形式不是很熟悉,有aws领域的大佬欢迎指出欠缺的地方,这也是我从业依赖第一次在平台上通过亲身试验来发表自己的原创,若有雷同和相似点纯属巧合,后续有机会我会分享更多有关
Elasticsearch 性能优化:大数据场景下的调优技巧
大数据洞察的博客
09-01 801
想象你经营着一家大型电商平台,每天有10亿条用户行为日志需要存储和分析,营销团队需要实时查看“过去1小时哪些商品被搜索最多”,运维团队需要从日志中速定位系统故障——这时候,ES就是你的“数据大脑”。但如果这个“大脑”反应迟钝(查询延迟>3秒)、经常“失忆”(数据写入失败),甚至“罢工”(集群红色状态),业务就会陷入瘫痪。写入慢、查询卡、集群抖。我们会覆盖从索引设计、查询优化到集群配置、JVM调优的全链路技巧,确保你的ES集群在大数据压力下依然“身轻如燕”。先“望闻问切”
ELK解决8小时的时间误
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
ElasticSearch 文档检索、查询建议、数据聚合
chy-x 的博客
10-22 1451
目录结构化搜索term 单词匹配(单个值)terms 单词匹配(多个值)range 范围查询exists 存在查询、miss 缺失查询ids id匹配prefix 前缀匹配wildcard 通配符匹配regexp 正则匹配全文搜索match_all 获取全部文档match 全文检索multi_match 在多个字段中检索match_phrase 短语搜索match_phrase_prefix 文本短语搜索term、match的比较bool 布尔查询query_string 查询字符串分词器分词器简介分词
Elasticsearch 滞后8小时等时区问题,一网打尽!
qq_34905631的博客
04-21 2575
我们看一下东8区百度百科定义:东八区(UTC/GMT+08:00)是比世界协调时间(UTC)/格林尼治时间(GMT)8小时的时区,理论上的位置是位于东经112.5度至127.5度之间,是东盟标准的其中一个候选时区。是:各个处理端时区不一致,写入源的时区、Kibana默认是本地时区(如中国为:东8区时区),而 logstash、Elasticsearch 是UTC时区。ingest 预处理时区的好处:方便、灵活的实现了写入数据的时区转换。那么问题就转嫁为:写入的时候转换成给定时区(如:东8区)就可以了。
Elasticsearch中的Date时间少8小时的问题
weixin_39754652的博客
01-03 6811
由于之前的项目一直是用solr,很少用es, 今天尝试了下springboot整合es(es版本6.x,依赖spring-boot-starter-data-elasticsearch), 发现Elasticsearch中的date时间取出来会少8小时. 分析原因:首先在索引里面查看了时间数据的存储格式为世界时间,默认是0时区,但是我们一般用的是北京时间东八区,因此间隔了八小时。 用hea...
ElasticSearch时间导入报错时间显示不正确
一个不安分的程序员
04-29 1616
2017年做的问题记录,偶然翻到贴出来,由于ES版本更新可能会有出入,请辩证的看 时间必须以UTC加时区的格式导入Elastic 其中 +08:00表示当前时区 Elastic会转换到标准时间也就是减去8小时存储 如果不加 Elastic会认为是00:00 就不再减8小时存储 也就是会多八个小时 放进去是 2017-03-02T17:20:57 再查出来就会变成 20...
ES 中时间日期类型 “yyyy-MM-dd HH:mm:ss” 的完全避坑指南
qq_42946376的博客
05-17 1592
假如我们有如下索引tax,保存了一些公司的纳税或资产信息,单位为“万元”。当然这里面的数据是随意填写的。多少为数据统计的时间,当前这个例子里。索引达的含义并不重要。关键点在于字段的内容格式。我们看到date字段其中包含了多种日期的格式:“yyyy-MM-dd”,“yyyy-MM-dd”还有时间戳。如果按照dynamic mapping,采取自动映射器来映射索引。我们自然而然的都会感觉字段应该是一个date类型。
Elasticsearch 中默认的日期格式
u011197085的博客
07-11 3689
注意,上述映射定义了一种新的日期格式,这种格式只包括年月日,不包括时间或时区信息,日期格式是 “yyyyMMdd”。幸运的是,这种日期格式是 Elasticsearch 默认的日期格式之一,因此你不需要指定任何自定义格式。然而,值得注意的是,当你从 Elasticsearch 检索这个日期字段时,它将会按照默认的日期格式返回,除非你在请求中指定了不同的日期格式。这个格式严格遵循ISO 8601日期和时间的格式,这意味着必须包含年份,月份,和日期,还可以包含时间,时区等信息。这种日期格式通常看起来像。
es时间和服务器时间对不上,八个小时
04-09
### 解决 Elasticsearch 时间与时区异的方法 Elasticsearch 和 Kibana 的时间显示问题通常源于不同组件之间的时区设置不一致。以下是针对该问题的具体解决方案: #### 方法一:调整 Logstash 配置 如果使用 Logstash 将数据写入 Elasticsearch,则可以在 Logstash 的配置文件中指定 `timezone` 参数,确保时间字段被正确解析并转换为 UTC 时区。 ```ruby filter { date { match => ["timestamp", "yyyy-MM-dd HH:mm:ss"] target => "@timestamp" timezone => "+08:00" # 设置为中国标准时间 (CST),即东八区 } } ``` 通过上述方式可以确保 Logstash 处理的数据时间字段统一为 UTC 或者目标时区[^4]。 --- #### 方法二:修改 Kibana 的日期格式化设置 由于 Kibana 默认会根据用户的浏览器时区来展示时间,因此可以通过更改 Kibana 的高级设置 (`Advanced Settings`) 来强制其使用特定的时区(如 UTC)。具体操作如下: 1. 登录 Kibana 并导航至 **Management -> Advanced Settings**。 2. 找到参数 `dateFormat:tz` 并将其值更改为 `"UTC"` 或其他所需的时区字符串(例如 `"Asia/Shanghai"` 表示中国标准时间)。 3. 保存设置后刷新页面即可生效。 此方法适用于希望在前端层面解决问题而不改变底层存储逻辑的需求场景[^3]。 --- #### 方法三:直接在 Elasticsearch 中定义索引模板 为了使新创建的文档自动携带正确的时区信息,在建立索引之前可预先定义好映射规则,并明确指出相关字段应采用何种格式及时区表示法。例如: ```json PUT _template/my_template { "index_patterns": ["my_index_*"], "mappings": { "properties": { "custom_time_field": { "type": "date", "format": "strict_date_optional_time||epoch_millis", "ignore_malformed": false, "doc_values": true } } }, "settings": { "number_of_shards": 1, "number_of_replicas": 1 } } ``` 注意此处并未显式涉及任何具体的时区偏移量;这是因为推荐的做法是在应用程序层面上完成必要的转换后再提交给 ES 存储[^1]。 --- #### 方法四:利用 Ruby 插件修正时间戳 对于某些特殊情况下无法单纯依赖配置项达成目的的情形下,还可以考虑借助自定义脚本来动态调整每条记录中的时间属性值大小。比如下面这段代码片段展示了如何增加固定秒数从而补偿跨区域带来的偏效果: ```ruby filter { ruby { code => " event.set('adjusted_time', event.get('@timestamp').time.localtime + Rational(8,24)) " } } ``` 不过需要注意的是这种方法可能会引入额外计算开销以及潜在一致性风险等问题,因而仅作为备选方案存在[^4]。 --- 以上四种途径均可有效应对由时区异引发的各种异常状况,请依据实际情况选取最合适的策略实施优化改进工作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值