转载:ELK filebeat原生处理日志时间

最新推荐文章于 2025-05-13 11:00:00 发布
最新推荐文章于 2025-05-13 11:00:00 发布
阅读量2.3k 收藏 5
点赞数 1
文章标签: elasticsearch filebeat 日志
原文链接:https://blog.youkuaiyun.com/qq_27818541/article/details/108063235
版权

本文转载自:【BigManing的博客】学习防丢
http://blog.youkuaiyun.com/qq_27818541/article/details/108063235

前言

项目有个需求:filebeat(v7.7)采集日志的时间替换为日志时间。通过调研,网上都是通过logstash来转换的,大概如下步骤(原理):

filter{
 
  grok{
     // 1 取出时间值 给 一个新字段
     patterns_dir => "./patterns"
     match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},%{MYPATTERN:create_Time}"]}
  }
  date {
      // 2 只要时间字段匹配这个格式 就赋值给@timestamp。
     match => [ "create_Time", "yyyy-MM-dd HH:mm:ss:ssssss" ]
     target => "@timestamp"
  }
}


解决办法:filebeat原生支持

在调研无望之际,全局阅览filebeat官网,终于在processor配置里找到了方法。主要是使用script 、timestamp 这两个属性。

script 作用是提取log里的时间值,并赋值给一个字段
timestamp作用是把一个字段值格式化为时间戳。这样采集时间戳就替换成了log里的时间。

例如 我的日志长这样

2020-08-05 16:21:51.824 [第10行 虚拟]


1
添加下面配置

processors:
  ...
  - script:
      lang: javascript
      id: my_filter
      tag: enable
      source: >
        function process(event) {
            var str= event.Get("message");
            var time =str.split(" ").slice(0,2).join(" ");
            event.Put("start_time",time);
        }
 
  - timestamp:
      # 格式化时间值 给 时间戳 
      field: start_time
      # 使用我国东八区时间  解析log时间
      timezone: Asia/Shanghai
      layouts:
        - '2006-01-02 15:04:05'
        - '2006-01-02 15:04:05.999'
      test:
        - '2019-06-22 16:33:51'


输出结果为

{
  "@timestamp": "2020-08-05T08:21:51.824Z",
  "@metadata": {
    "beat": "filebeat",
    "type": "_doc",
    "version": "7.7.0"
  },
  "message": "2020-08-05 16:21:51.824 [第10行 虚拟]",
  "ecs": {
    "version": "1.5.0"
  }
}


附测试时完整配置:

filebeat.inputs:
  - type: log
    enabled: true
    paths:
      - /etc/test/1.log
    reload.enabled: true
    reload.period: 10s
# 这里直接打印出来(测试使用)    
output.console:
  pretty: true
processors:
  - script:
      lang: javascript
      id: my_filter
      tag: enable
      source: >
        function process(event) {
            var str= event.Get("message");
            var time =str.split(" ").slice(0,2).join(" ");
            event.Put("start_time",time);
        }
  - timestamp:
      field: start_time
      timezone: Asia/Shanghai
      layouts:
        - '2006-01-02 15:04:05'
        - '2006-01-02 15:04:05.999'
      test:
        - '2019-06-22 16:33:51'


注意事项

timezone大全

更多时区看这里

本文中timezone说明

很多朋友问到timezone的问题,我这里详细描述下。

@timestamp 这个字段 系统自带的,默认时间就是采集log的UTC时间 。例如 现在时间是2020-12-30 18:59:58.234 ,那么他的值为2020-12-30T10:59:58.234Z

现在我们手动替换@timestamp为日志时间(东八区),需要将时间字符串解析成UTC时间,赋值给@timestamp,那么我们必须显示的指定timezone 信息。

指定timezone后的表现

log时间字符串:2020-08-05 16:21:51.824
重新赋值的@timestamp值: 2020-08-05T08:17:11.535Z (正确)
未指定timezone后的表现

log时间字符串:2020-08-05 16:21:51.824
重新赋值的@timestamp值: 2020-08-05T16:17:11.535Z (默认使用了UTC零时区解析)
 

maybe宸
关注
Python日志分析:使用ELK堆栈处理大规模日志数据
Python编程之道的博客
06-06 724
在互联网时代,每台服务器、每个应用每天都会产生海量日志(比如电商APP的用户点击记录、服务器的错误信息)。这些日志就像“数字黑匣子”,藏着系统健康度、用户行为、安全风险等关键信息。但直接“啃”原始日志文件(比如几GB的nginx.log)就像在沙漠里找珍珠——效率极低。本文的目的是教会你用ELK堆栈(Elasticsearch+Logstash+Kibana)这套“日志处理神器”,结合Python生成和解析日志,轻松实现大规模日志的采集、清洗、存储与可视化分析。
Docker 日志与监控:ELK 集成与 Prometheus 的深度实践
最新发布
专栏
05-29 1182
在 Docker 容器化环境中,传统的日志和监控方法已不再适用。通过集成 ELK Stack 和 Prometheus,我们可以构建一套功能强大、可扩展的集中式日志收集与性能监控体系。ELK 提供了日志的统一存储、查询和可视化能力,帮助我们快速定位和解决问题;而 Prometheus 则提供精细的性能指标收集、灵活的查询和强大的告警机制,确保服务的稳定运行和资源的高效利用。
为何 Filebeat 采集日志不是实时的?(采集时间与log本身时间有差异)
BigManing的博客
06-17 8742
注:本文中 filebeat 的版本为 7.5,不同版本的 filebeat 的行为可能有所差异。 一、前言 filebeat 采集的日志时间戳,和日志管理平台实际收到的日志时的时间戳,通常都会有几秒的延迟,有些情况下甚至能达到十几秒。其中固然有 filebeat日志管理平台之间的网络带来的影响,但最大的延迟还是出现在日志的产生到 filebeat 上报这个时间段。为何 filebeat 采集日志不是实时的? 如果是一个简单的类似于 tail -f 的日志采集程序,那么只要程序写入日志文件,不到一.
java filebeat_filebeat 提取java时间
weixin_28815535的博客
02-24 690
日志收集可能因机器性能而产生延迟,filebeat默认10秒扫描一次文件,收集时间集中也会导致日志时间排序混乱,container处理器会降低日志写入时间的精度,所以提取java输出日志时间有利于排序查看日志,java日志的写入时间大多精确到微秒,可能不足以正确排序,还可以借助filebeat 记录的offset排序。具体实现采用elasticsearch 的 ingest 节点功能,使用gr...
ELK日志收集之多文件提取文件名和日志时间
weixin_37985149的博客
07-19 498
需求:多个设备的日志同时保存在一台服务器上,日志文件的文件名是设备的ID,需要将多个文件提取文件名作为最终的筛选字段,同时提取日志中的时候日期时间替换系统的@timestamp。使用kibana的开发工具获取一下对应index的结果看下是否有想要的字段传过来。以上便完成了多个设备日志上传以及设备日志筛选,欢迎大家指正。
filebeat替换采集时间戳@timestamp为日志时间
junxuezheng的博客
09-01 5003
前言 filebeat采集时间戳timestamp替换为日志中的时间。可以采用logstash,可以参考网上其他方案,在此不做介绍。本次介绍filebeat原生支持的方案。(具体也可参考文末的博客,我也是读了这篇博客才懂的,在此仅为对知识做下记录) 替换filebeat时间戳timestamp方案 主要是使用script timestamp 这两个属性。 script 作用是提取log里的时间值,并赋值给一个字段 timestamp作用是把一个字段值格式化为时间戳。这样采集时间戳就替换成了log里的时间
ELK搭建之filebeat时间问题
搬砖小胖子
08-08 3382
众所周知,在kibana页面上查看filebeat日志信息会比北京时间早8小时,例如现在是北京时间2019年8月8日11:37分,但是在kibana上filebeat时间是2019年8月8日19:37分。因为差八个小时,日志看起来很不方便,网上查了很多的教程都不行,以下方法亲自试验有效果 cn-zstack-db-back rsyslog日志服务器 安装了filebeat filebe...
【Beats04】企业级日志分析系统ELKFilebeat 收集日志及案例三
运维&陈同学的博客
01-03 1192
作为服务器上的代理安装,Filebeat监视您指定 的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或Logstash进行索引。filebeat 支持从日志文件,Syslog,Redis,Docker,TCP,UDP,标准输入等读取数据,对数据做简单处理,再输 出至Elasticsearch,logstash,Redis,Kafka等。启动Filebeat时,它将启动一个或多个输入源,这些输入将在为日志数据指定的位置中查找。Run Options(可选)Logging(可选)
ELK 7.5.0(八)ELK+Filebeat采集Json日志
友人A的博客
10-29 664
一、实验环境 主机名 IP es 192.168.14.210 kibana 192.168.14.210 logstash 192.168.14.211 Filebeat 192.168.14.213 nginx 192.168.14.213 二、安装部署(内容比较多,已经分开写) 1、ELKelasticsearch+logstash+k...
【Linux常用配置】第九章:ELK日志分析系统集成与配置
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
05-13 1048
可视化组件类型类型适用场景示例数据表原始日志查看错误日志明细折线图趋势分析错误率变化柱状图对比分析各服务错误数饼图占比分析错误类型分布指标关键指标当前错误数Lens可视化示例"state": {🚀智能运维新时代!通过本章的实践,您已经构建了从日志采集到智能分析的全栈能力。故障定位:从小时级到分钟级的MTTR(平均修复时间)资源节省:相比传统方案减少70%存储成本洞察能力:发现传统方法无法检测的异常模式合规审计:满足GDPR等法规日志保留要求ELK方案速查表场景。
ES & Filebeat 使用 Pipeline 处理日志中的 @timestamp
杂货铺子
11-06 8525
使用 Pipeline 处理日志中的 @timestamp Filebeat 收集的日志发送到 ElasticSearch 后,会默认添加一个 @timestamp 字段作为时间戳用于检索,而日志中的信息会全部添加到 message 字段中,但是这个时间Filebeat 采集日志时间,不是日志生成的实际时间,所以为了便于检索日志,需要将 @timestamp 替换为 message 字段中的时间。 这里使用的是 elasticseatch 提供的 pipeline 来进行替换。首先日志格式如下: 20
filebeat的@timestamp字段时区问题
weixin_30952535的博客
12-15 789
最近使用filebeat进行日志采集,并通过logstash对日志进行格式化处理filebeat采集数据后,会给日志增加字段@timestamp,@timestamp是UTC时间,查看日志很不方便。 从网上找到了解决办法【http://blog.51cto.com/11067470/1729872】。 在logstash的filter中增加如下代码,就可以把时间转换成北京所在时...
filebeat-自定义timestamp
coder-zzzz的博客
01-27 2650
自定义timestamp 在filebeat采集日志时,会需要将日志中的具体时间用于@timestamp字段,供后续的时间查找等等,在7.16版本中可以使用timestamp processor:https://www.elastic.co/guide/en/beats/filebeat/current/processor-timestamp.html 来进行处理 "2022-01-26 06:43:31.632 | log message" 1.1.1.1 - - [27/Jan/2022:17:08
filebeat自定义日期类型
工具人的博客
10-12 1113
filebeat date 自定义日期类型
filebeat替换采集时间戳@timestamp为日志时间的解决方案(不需要logstash)
热门推荐
BigManing的博客
08-18 1万+
前言 项目有个需求:filebeat采集日志时间替换为日志时间。通过调研,网上都是用logstash来转换的,大概如下步骤(原理): filter{ grok{ // 1 取出时间值 给 一个新字段 patterns_dir => "./patterns" match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},
filebeat中一种替换timestamp方法
flying8127的专栏
03-16 1329
filebeat
Filebeat+Kafka+ELK日志采集(二)——Filebeat
qq_40774600的博客
09-20 8476
Filebeat用于日志采集,将采集的日志做简单处理(多行合并)发送至Kafka、Logstash、Elasticsearch等。
Filebeat新手入门(四)日志解析引入javascript
kele5589的博客
05-31 981
日志分析、数据采集、filebeat
【 云原生 kubernetes 】- 使用Filebeat采集k8s日志
ycloud
06-27 3762
日志采集器Logstash其功能虽然强大,但是它依赖java、在数据量大的时候,Logstash进程会消耗过多的系统资源,这将严重影响业务系统的性能,而filebeat就是一个完美的替代者,它基于Go语言没有任何依赖,配置文件简单,格式明了
elk如何抓取pod日志
05-11
<think>嗯,用户想了解ELK如何抓取Kubernetes Pod日志,并且设置每天自动新建索引。首先,我需要回忆之前的对话历史。用户之前已经询问过类似的问题,我之前给出了使用Fluentd作为日志采集工具,配置Elasticsearch索引模板和ILM策略的方法。现在用户再次提问,可能希望得到更详细的步骤或者不同的方法? 用户提供的站内引用中有提到Kafka-manager、EFK方案、Exporter配置以及Filebeat的链接。虽然用户的问题是关于ELK的,但引用中的EFK和Filebeat可能相关。EFK中的F指的是Fluentd或Fluent Bit,而Filebeat也是常用的日志采集工具。用户可能想知道是否有其他方法,比如使用Filebeat代替Fluentd? 用户特别提到是否支持每天自动新建索引,这可能涉及到索引的滚动策略,比如使用时间戳后缀或者ILM策略。之前的回答中已经涵盖了Fluentd配置时间分片和ILM,但用户可能需要更明确的教程步骤。 需要确定用户的具体环境,比如是否已经使用Filebeat或者Fluentd,但用户没有说明,所以应该提供两种方法的配置。同时,用户提到Kubernetes,所以配置应该适合容器化环境,比如DaemonSet或Sidecar模式。 用户引用的[4]是Filebeat的官方文档,可能用户对Filebeat感兴趣。因此,除了之前的Fluentd方法,还需要补充Filebeat的配置方法,如何设置Filebeat的索引自动创建。 另外,索引的生命周期管理也很重要,需要解释如何配置ILM策略确保每天自动创建新索引,并删除旧索引。可能需要分步骤说明,包括Elasticsearch中的索引模板、ILM策略设置,以及Kibana中的索引模式配置。 还要考虑用户可能的错误,比如时区问题导致索引日期不符合预期,或者缓冲区的配置不当导致日志丢失。在教程中需要提醒这些注意事项,并提供验证方法,比如如何检查索引是否按天生成,如何查询日志等。 最后,用户可能需要相关的问题,比如如何调整索引的分片数,如何处理日志字段的解析问题,或者如何扩展ELK的性能。需要准备好这些相关问题,帮助用户进一步了解。</think>根据Kubernetes日志采集需求与Elasticsearch索引管理规范,以下是ELK抓取Pod日志并实现每日自动建索引的完整实现方案: ### 一、日志采集架构选型对比 | 工具 | 资源消耗 | 处理能力 | Kubernetes集成度 | 适用场景 | |------------|----------|----------|------------------|------------------| | **Fluentd** | 较高 | 强 | 原生支持 | 复杂日志处理场景 | | **Filebeat**| 低 | 中等 | 需定制配置 | 轻量级采集需求 | #### 方案选择建议: 1. 复杂字段处理选Fluentd(支持ruby插件)[^2] 2. 资源敏感场景选Filebeat(内存占用减少40%)[^4] ### 二、Fluentd方案实现步骤 #### 1. DaemonSet部署配置(增强版) ```yaml # fluentd-daemonset.yaml apiVersion: apps/v1 kind: DaemonSet spec: template: spec: containers: - name: fluentd image: fluent/fluentd-kubernetes-daemonset:v1.14-debian-elasticsearch7-1 env: - name: FLUENT_ELASTICSEARCH_INDEX_PREFIX value: "k8s-${ENV}-%Y.%m.%d" # 按日分片索引 - name: FLUENT_ELASTICSEARCH_LOGSTASH_FORMAT value: "false" # 禁用默认logstash格式 volumeMounts: - mountPath: /var/log name: varlog ``` #### 2. 日志解析增强配置 ```xml <filter kubernetes.**> @type parser key_name log reserve_data true <parse> @type multi_format <pattern> format json time_key timestamp </pattern> <pattern> format none </pattern> </parse> </filter> ``` ### 三、Filebeat方案实现(基于引用[4]优化) #### 1. ConfigMap核心配置 ```yaml # filebeat-config.yml filebeat.inputs: - type: container paths: - /var/log/containers/*.log processors: - add_kubernetes_metadata: host: ${NODE_NAME} matchers: - logs_path: "/var/log/containers/" output.elasticsearch: hosts: ["${ES_HOST}"] indices: - index: "filebeat-k8s-%{+yyyy.MM.dd}" # 动态索引名称 when.equals: kubernetes.namespace: "prod" ``` #### 2. DaemonSet部署文件 ```yaml # filebeat-daemonset.yaml apiVersion: apps/v1 kind: DaemonSet spec: template: spec: containers: - name: filebeat image: docker.elastic.co/beats/filebeat:7.15.1 volumeMounts: - name: config mountPath: /usr/share/filebeat/filebeat.yml subPath: filebeat.yml ``` ### 四、索引自动创建双保险机制 #### 1. Elasticsearch索引模板 ```bash PUT _template/k8s_logs_template { "index_patterns": ["k8s-*-*", "filebeat-k8s-*"], "settings": { "number_of_shards": 3, "index.lifecycle.name": "k8s_daily_policy", "index.format": 1 } } ``` #### 2. ILM策略配置 ```bash PUT _ilm/policy/k8s_daily_policy { "policy": { "phases": { "hot": { "actions": { "rollover": { "max_age": "24h", # 强制24小时滚动 "max_size": "50gb" } } }, "delete": { "min_age": "30d", "actions": {"delete": {}} } } } } ``` ### 五、日志采集验证方法 #### 1. 索引生成验证 ```bash # 查看当日索引 GET _cat/indices/k8s-prod-2023.08.17?v # 验证索引设置 GET k8s-prod-2023.08.17/_settings ``` #### 2. 日志追溯测试 ```bash # 查询特定命名空间日志 POST k8s-prod-2023.08.17/_search { "query": { "term": { "kubernetes.namespace": "payment" } } } ``` ### 六、性能调优参数 | 参数 | Fluentd推荐值 | Filebeat推荐值 | 作用说明 | |------------------------|---------------|----------------|------------------------| | flush_interval | 5s | 10s | 缓冲刷新间隔 | | chunk_limit_size | 8MB | 10MB | 单批次数据量限制 | | queue.type | persisted | mem | 队列持久化方式 | | thread_count | 4 | 2 | 处理线程数 | ### 七、常见问题解决方案 **问题1:索引未按日生成** - 检查项: 1. 节点时间同步状态 2. Fluentd/Filebeat时区配置 3. ILM策略生效状态 **问题2:日志字段丢失** - 解决方案: ```xml <filter **> @type record_transformer enable_ruby true <record> full_message ${record.to_json} </record> </filter> ``` --- [^1]: Kafka集群管理工具CMAK的容器化部署方法 [^2]: Fluentd日志字段转换的Ruby插件实现 [^3]: Kubernetes监控指标采集规范 [^4]: Filebeat在容器环境的配置最佳实践 --相关问题-- 1. 如何实现基于日志级别的差异化存储策略? 2. 怎样配置跨集群的日志聚合查询? 3. 如何通过ILM实现日志的冷热分层存储?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值