logstash 数据采集时间差8小时问题及解决

最新推荐文章于 2024-06-04 17:08:25 发布
最新推荐文章于 2024-06-04 17:08:25 发布
阅读量1.2w 收藏 8
点赞数 2
CC 4.0 BY-SA版权
分类专栏: elasticsearch 文章标签: logstash时区 logstash慢八小时
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33283716/article/details/83055655
本文介绍了解决Logstash采集日志时产生的UTC时间戳问题,导致数据索引及文件切割时间不符本地时区的方法。提供了三种解决方案:通过filter字段调整、修改源码中的DateTimeZone配置,以及更深入的源码修改,确保日志处理符合实际需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近采用logstash采集日志按天产生文件

使用过程中发现logstash timestamp记录的时间戳为UTC时间。

比我们的时区早8个小时。

不能确保每天的数据在同一文件。

造成发送到es里的数据每天早上8点才创建索引,发送的file的数据每天早上8点自动切割。

不符合我们实际的需求。

解决此问题。

方法如下:

方法一、加入filter字段即可解决。

filter {
    ruby {
        code => "event.timestamp.time.localtime"
    }
}

方法二、修改logstash源码

vi logstash-2.4.1\vendor\bundle\jruby\1.9\gems\logstash-core-event-2.4.1-java\lib\logstash\timestamp.rb

UTC = org.joda.time.DateTimeZone.forID(“UTC”)  
修改为:  
UTC = org.joda.time.DateTimeZone.getDefault()

方法三、继续修改源码 总有一种适合你的

1、修改string_interpolation.rb文件

vim /data/logstash/vendor/bundle/jruby/1.9/gems/logstash-core-event-2.4.1-java/lib/logstash/string_interpolation.rb
将.withZone(org.joda.time.DateTimeZone::UTC)修改为.withZone(org.joda.time.DateTimeZone.getDefault())

2、修改timestamp的配置文件

vim  /data/logstash/vendor/bundle/jruby/1.9/gems/logstash-core-event-2.4.1-java/lib/logstash/timestamp.rb
将@time = time.utc修改为@time  = time

 

Java时间工具类:获取两个时间段的时间段值、判断token时间、日期字符串格式化
专注于计算机研发知识和资讯分享
03-26 391
使用场景: 按照时间分表/索引,需要根据时间范围确定查询的表/索引。
解决logstash时区相差8小时问题最详细解答
yongyong169的博客
03-01 4444
解决logstash索引差八小时问题
logstash数据采集8小时问题解决(原创)
xuguokun1986的博客
06-04 1745
作者:star 软件版本 软件名称 版本号 elasticsearch 2.1.1 logstash 2.3.1 问题解决办法 解决方案1: input { jdbc { jdbc_connection_string => "jdbc:oracle:thin:@10.35.4.97:1521:OMS1" jdbc_drive...
logstash7.x默认时区与字段时间差八个小时
weixin_43725192的博客
06-07 1756
logstash7.x默认时区与字段时间差八个小时解决方法
logstash 7.x 中时间问题,@timestamp 与本地时间相差 8小时
猎人在吃肉
12-29 3668
1、问题: 版本:logstash-7.16.2 Logstash 中的时间为格林威治时间,而我们时区是东8区,因此通过logstash采集到的数据和我们的时间会有8小时的时差。 当我们是上午8点钟时,格林威治时间才是0点,跟时间有关的都会有问题。 2、 解决方法 解决方法 是在 当前时间的基础上加上8小时。 filter { ruby { code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*
ELK解决8小时的时间误差
08-01
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源,适合于在各个服务器上搜集日志后...
LogStash采集Nginx日志到Kafka操作手册
qq_33865863的博客
09-03 614
nginx配置 编辑nginx配置文件 vim /usr/local/nginx/conf/nginx.conf 定义日志格式为json,修改http模块 http { include mime.types; default_type application/octet-stream; ​ log_format logstash_json '{ "@timestamp": "$time_iso8601", ' ...
ElasticSearch学习笔记之三:Logstash数据分析
大龄IT民工
06-04 2073
Logstash使用管道方式进行日志的搜集处理和输出。有点类似*NIX系统的管道命令 xxx | ccc | ddd,xxx执行完了会执行ccc,然后执行ddd。在logstash中,包括了三个阶段:输入input --> 处理filter(不是必须的) --> 输出output每个阶段都由很多的插件配合工作,比如file、elasticsearch、redis等等。每个阶段也可以指定多种方式,比如输出既可以输出到elasticsearch中,也可以指定到stdout在控制台打印。
数据早8小时Or晚8小时,你知道为什么吗,附解决方案
jx69693678nab的博客
12-30 496
前言 这篇文章,不会解释什么是本初子午线,只想以做实验的方式来理解数据差8小时问题。下面就先说结论,再来谈原理。 解决方案 想必大家都很清楚:中国标准时间= UTC + 8小时。 那么所有和时区有关的地方,都有可能成为“凶手”。 如果是java写入es怎么解决时区问题? 如果你使用java程序来写入es,我推荐你写入带T的时间字符串。提供程序如下: /** * String ...
ELK之Logstash解析时间相差8h的问题
一掬净土
11-12 1571
logstash解析的时间为与实际时间想差8h。
Logstash @timestamp和正常时间差8小时解决办法
习惯了想你的博客
11-06 8126
最近在做 logstash 消费 kafka 写到 es 的项目中,在 kibana 中查看发现 logstash 写入的 @timastamp 比真实服务器的时间8小时。并且生成的文件中,日志切分的格式也是差了8小时。例如:2019-01-01的日志里面会写入2019-01-02 08:00:00 前的日志。因为logstash默认使用的是UTC时间。 使用版本: name ver...
logstash@timestamp时间差8小时导致数据到前一天的索引中
qq_35865336的博客
04-09 3013
问题logstash@timestamp时间差8小时导致数据到前一天的索引中,比如凌晨00:57的数据跑到了前一天的索引中 很多文章的解决办法,是在原来的@timestamp的基础上进行+8小时解决了,但我后来试过还是有问题。 给出我自己试验后的解决方案: 日志: 2022-04-01 00:57:49.979-192.168.0.107-stock [http-nio-8082-exec-8] INFO com.yh.stock.controller.StockController - 库
logstash解决时区问题 早上8点建立索引问题!!!!
weixin_42207486的博客
09-13 5678
在elk的路上越走越远! 版本:5.5 问题背景:公司开发需要针对es索引去统计一些东西,但是索引是统计8点到第二天8点影响,要改索引建立为凌晨建立时间。 解决:直接上配置 date { match => ["PARAM_date", "yyyy.MM.dd HH.mm.ss","UNIX_MS"] target => "@time...
logstash处理@timestamp时区
进击的豌豆的博客
09-08 2528
input { stdin { } } filter { #ruby { # code => "event.set('timestamp', event.get('@timestamp') + 8*60*60)" # code => "event.set('aaa', event.get('@timestamp').time.localtime)" # code => "event.set('bbb', event.timestamp.time.localtime +
logstash修改es创建索引的时间为凌晨00:00;
qq_44930876的博客
01-11 1585
logstash修改es创建索引的时间为凌晨00:00;
logstash 中关于 @timestamp 时区解决
YoFog的博客
05-08 4758
在使用logstash时,默认使用了一个时间字段@timestamp,@timestamp时间使用的是utc时间,在kibana中展示时,一般自己会增加新字段,不影响判断。但是最近需要使用----elastalert,监测waf的拦截日志然后通过企业微信进行告警,触发时间如果再使用--@timestamp,会对一些信息接收人产生误解,所以要将@timestamp时间转换成本地date时间。 综合参考其他人的方案,在logstash中,监测对象配置里的--filter中添加代码是最直接方便的。重启logs.
数据采集系统软件 数据统计
最新发布
04-28
好的,我现在需要回答用户关于数据采集系统软件的数据统计功能和工具实现方式的问题。首先,用户提到的引用内容中有几个关键点需要参考。 根据引用[2],数据采集系统的发展经历了多个阶段,现在使用微机分散控制...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值