elasticsearch时间字段的处理

最新推荐文章于 2025-10-28 17:37:37 发布
原创 最新推荐文章于 2025-10-28 17:37:37 发布 · 6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何确保Elasticsearch索引映射与Logstash解析的数据字段一致性,包括解决因字段名称不匹配导致的问题,以及配置Logstash从Redis读取JSON数据并将其正确导入ES的具体步骤。

首先,确报创建索引是的mapping字段和json写入的字段名称一致,否则会有意想不到的问题。刚开始,redis里的json字符串字段为regular_detail_hour,但是,我在创建索引时写的为:regular_detail_time。通过logstash写入到ES,并不报错,只是新建了一个叫regular_detail_hour的字段。
通过bean实例化了一个json,然后通过RedisTemplate

 ListOperations<String,String> liststring=redisTemplate.opsForList();
        liststring.rightPush(key,value);
        return(true);

写入到redis数据,list类型。
logstash会通过消息队列类型的操作去读取数据,读完就删。

input {
    redis {
             host => "172.19.112.4"
             data_type => "list"
             key => "di"
             type => "di"
          }
}

filter {
  if [type] == "di" {
    json { source => "message"}
    mutate { remove_field => ["message","tags"] }
    date { match => [ "rept_col_time", "yyyy-MM-dd HH:mm:ss" ]  
           target =>"@timestamp"
           locale => "en"  
           timezone => "+00:00"    
         }  
     }
}

output {
   if [type] == "di"{
    if "_grokparsefailure" not in [tags] and "_groktimeout" not in [tags]{
       elasticsearch {
         hosts => ["10.96.91.208:9200","10.96.91.209:9200","10.96.91.210:9200","10.96.91.211:9200"]
         index => "di"
      }
   }
  }
}

另一边,ElasticSearch,也进行日期类型的处理,必须和json字符串的格式一样,否则出错。

put di
{
   "mappings" : {
        "di" : {
                 "properties" : {
                                  "@timestamp": {"type": "date"},
                                  "@version": {"type": "text","fields": {"keyword": {"type": "keyword","ignore_above": 256}}},
                                  "rpt_id" : { "type" : "keyword" },
                                  "iiiii" : { "type" : "keyword" },
                                  "data_type" : { "type" : "keyword" },
                                  "rpt_arrive_time" : { "type" : "date","format": "yyyy-MM-dd HH:mm:ss"},
                                  "filename" : { "type" : "keyword" },
                                  "observe_time" : { "type" : "date","format": "yyyy-MM-dd HH:mm:ss" },
                                  "regular_detail_hour" : { "type" : "date" ,"format": "yyyy-MM-dd HH:mm:ss"},
                                  "bbb" : { "type" : "keyword" },
                                  "rept_validity" : { "type" : "short" },
                                  "rept_status" : { "type" : "short" },
                                  "rept_col_time" : { "type" : "date","format":"yyyy-MM-dd HH:mm:ss"},
                                  "data_source" : { "type" : "keyword" },
                                  "data_source_name" : { "type" : "keyword" },
                                  "part_day" : { "type" : "short" },
                                  "data_type_new":{"type" : "keyword"}
            }
        }
    }
}

至此结束

ElasticSearch第八讲 ES索引字段映射类型以及动态映射相关操作
程序员路同学
09-04 1760
ElasticSearch第八讲 ES索引字段映射类型以及动态映射相关操作
国际化时区-ElasticSearch时区处理
zl
07-08 2030
一、存储格式二、查询统计三、使用建议参考资料一、存储格式JSON 本身没有date类型,Elasticsearch将设置了时区的date转换为UTC时间,将没有设置时区的date直接设置为UTC时间,以long型时间戳存储。官网文档《Date datatype文档》内容如下Date datatypeJSON doesn’t have a date datatype, so dates in Elasticsearch can either be:Internally, dates are converted
Elasticsearch-Date字段类型
qq_37107851的博客
08-21 1656
JSON没有日期数据类型,因此Elasticsearch中的日期可以是: 包含格式化日期的字符串,例如“2015-01-01”或“2015/01/01 12:10:30”。 表示自历元以来的毫秒数。 表示自历元(配置)起的秒数。 注意:自历元起的毫秒值必须为非负。使用格式化日期表示1970年之前的日期。 在内部,日期转换为UTC(如果指定了时区),并存储为表示自历元起毫秒数的长数字。 日期查询在内部转换为此长表示形式的范围查询,聚合和存储字段的结果根据与字段关联的日期格式转换回字符串。 注意:日
ElasticSearch 利用索引模板定义date类型字段
qq_25067199的博客
04-21 1万+
ElasticSearch中date类型是个很重要的类型。在聚合、排序、和kibana等结合使时都需要date类型。但在某些依赖es动态映射出index,type及字段类型时,时间字段值为时间戳可能出现一些问题: 动态映射: 在开启自动创建索引(action.auto_create_index)下,传入一个json字符串进行保存时 在某个字段第一次出现时,如果之前没有定义过映射,ES自动检...
Elasticsearch 外表
最新发布
u011250186的博客
10-28 39
Elasticsearch 外表
ElasticSearch6.X版本自动添加时间
图图小淘气的博客
12-15 3493
需求:根据时间提取es数据 解决:为es的记录添加时间戳 1、方法 配置时间戳 pipeline PUT _ingest/pipeline/my_timestamp_pipeline { "description": "Adds a field to a document with the time of ingestion", "processors": [ { "set": { "field": "@timestamp", "value
Elasticsearch为记录添加时间戳timestamp
热门推荐
王浩的技术博客
08-02 9万+
时间戳(timestamp)是表明某条数据产生的时间,代表了此数据在一个特定时间点已经存在的证据。本文描述了在Elasticsearch添加时间戳的方式:手动和自动两种。
Elasticsearch教程11】Mapping字段类型之日期时间date date_nanos
Java Spring Elasticsearch
08-30 7029
JSON没有date类型,但我们可以把以下类型作为日期时间存入ES。类型说明字符串日期格式的字符串,如"2015-01-01"或"2015/01/01 12:10:30"长整型从开始纪元(1970-01-01 00:00:00 UTC)开始的毫秒数整型从开始纪元(1970-01-01 00:00:00 UTC)开始的秒数上面的UTC(Universal Time Coordinated) 叫做世界统一时间,中国大陆和 UTC 的时差是 + 8 ,也就是 UTC+8。在ES内部,时间以。...
Elasticsearch实战系列(七)--ES字段的定义
吴小豪的博客
07-18 3075
一、字段的类型 核心类型 字符串text和keyword 数值 日期 布尔 其它类型 核心类型派生的复杂类型数组 嵌套类型,它允许在文档中包含其它文档 字符串text和keyword 其中text分词用于全文检索,而keyword不分词用于聚合和排序 数值类型 可以是浮点数、也可以是非浮点数。如果不需要小数,可以选择byte、short、int或者lon...
Elasticsearch高级搜索技术-基于时间的数据处理
weixin_43298211的博客
10-15 1784
在执行时间范围查询时,Elasticsearch 会将查询中的时间范围与文档的时间戳进行比较,并返回符合条件的结果。为了便于管理和查询,推荐使用标准的 ISO 8601 格式,例如。Elasticsearch 还支持多种日期格式,并且可以在映射中指定这些格式。查询来根据时间范围过滤文档。,表示 UTC 时间 2023 年 1 月 1 日上午 8 点。字段并将其存储为内部的时间戳格式。在 Elasticsearch 中,时间戳通常使用。在这个例子中,我们添加了一条带有时间戳的日志条目。
Java 集成 ES:日期字段的时区处理时间戳序列化指南
lucky_love816的博客
03-31 1231
由于我们项目中引入了es组件,针对es中存储了很多关于日期的问题,由于我们项目需要实现国际化所以肯定需要考虑时区问题,所以es中日期相关的字段都采用了时间戳,那如何优雅的将业务中不同类型的日期值在写入到es中转换成时间戳的问题进行了延伸,包括前期一篇博客也发布了关于时区问题的处理给出的代码是Java语言,涉及到一个类的字段定义和设置方法。具体来说,用户有一个result对象,调用了setClientTime方法,传入的参数是data.getClientTime()。
Elasticsearch 插入时间字段时数据格式问题
weixin_43455473的博客
03-04 2230
elasticsearch 时间格式 elasticsearch创建index的之后,可以设置mapping。 如果mapping中没有设置date的format,那么默认为两种格式 strict_date_optional_time||epoch_millis ,其中新版strict_date_optional_time移除了前缀strict_。 date_optional_time 此格式为ISO8601标准 示例:2018-08-31T14:56:18.000+08:00 epoch_milli
ElasticTimezone:将每个时区转储到Elasticsearch服务器中以进行超快速查询
05-17
这是什么 将每个时区转储到Elasticsearch服务器中以进行超快速查询 如何 node index.js --host=myhost --index=myindex 参数 主机(localhost:9200); 指数(geo-zones-test); 类型(TimeZone); 极限(5);
Elasticsearch:从 Elastic Stack 中的时间戳谈开去
Elastic 中国社区官方博客
08-11 2984
时间戳,也就是 timestamp, 它在许多的事件中,特别是时序数据中是一个不可少的字段。它记录事件或文档的时间。在我们对数据可视化时,也是非常重要的一个字段。针对时序时间,在我们对数据创建 index patterns 或者 date views 时,我们需要选择时间戳的字段。...
elasticsearch之日期类型有点怪
无风听海
02-15 1496
通过以下代码可以看到,左边界的值会覆盖new MutableDateTime(1970, 1, 1, 0, 0, 0, 0, DateTimeZone.UTC)对应的位置的数字,右边界的值会覆盖ew MutableDateTime(1970, 1, 1, 23, 59, 59, 999, DateTimeZone.UTC)对应位置的数字;索引数据的时候,elasticsearch内部会基于UTC时间,将传入的数据转化为基于milliseconds-since-the-epoch的一个长整型数字;
ElasticSearch时间类型的坑!究竟如何选择使用的格式?
jast
01-16 1081
在中,时间字段通常会定义为date类型。这种类型允许我们指定时间格式,帮助 ElasticSearch 解析并存储时间数据。通过mappings来定义时间字段时,可以指定一个或多个时间格式。
Elasticsearch自动使用服务器时间设置日期字段并更新时区
Elastic 中国社区官方博客
09-01 2192
在大多数情况下,你的数据包含一个以 create_date 命名的字段。即使没有日期字段处理各种格式和时区的日期对数据仓库来说也是一个重大挑战。与此类似,如果要检测变化的数据,则必须准确设置日期字段。在 Elasticsearch 中还有一个选项可以自动将服务器的日期设置为字段。我们将使用摄取管道属性的和处理器。
Elasticsearch时区问题
大白能的博客
07-15 1万+
发现问题 创建索引,配置date类型字段 批量插入数据,格式分别为带时区信息,不带时区信息,时间戳 对数据进行聚合 对数据进行查询,分别使用带时区信息,不带时区信息,时间戳三种格式 创建索引,配置字段类型 PUT testdate { "mappings": { "testdate":{ "properties": { "tag":{ ...
Elasticsearch 时区(time_zone)记录
Richar1的专栏
12-21 2万+
elasticsearch 默认是以utc时间存储的,现在我创建了两个索引,分别用存储了utc格式 和localtime格式的时间 使用百度echarts折线图展现对transaction_time聚合的结果 图一是对localtime聚合的结果, 图二是对utc时间聚合的结果, 可以看出,在使用es直方图进行聚合的时候,无论存储的的是localtime 还是utc,都会被转换成utc的
Elasticsearch 中如何处理时间字段的时区转换?
08-26
### 时区转换的基本原理 Elasticsearch 内部存储时间字段(如 `date` 类型字段)时,默认使用 UTC(即 GMT+0)时区。当在 Kibana 或其他前端工具中展示这些时间戳时,如果设置了本地时区(如 `Asia/Shanghai`),Elasticsearch自动将 UTC 时间转换为指定时区的时间进行展示。然而,如果数据源(如 Logstash 或业务系统)在写入时未正确处理时区,可能导致时间显示偏差[^1]。 ### 时间字段的时区配置方法 #### 1. 在索引映射中定义时间字段的格式与时区 Elasticsearch 支持在索引映射中定义字段的日期格式,虽然映射中不能直接指定时区,但可以确保字段被正确解析为 `date` 类型,为后续查询时区转换打下基础。例如: ```json { "mappings": { "properties": { "timestamp": { "type": "date", "format": "yyyy-MM-dd HH:mm:ssZ" } } } } ``` 该配置确保 `timestamp` 字段被解析为日期类型,并支持带时区偏移的格式输入[^3]。 #### 2. 查询时使用 `script` 字段进行时区转换 在查询阶段,可以使用 Painless 脚本语言将 UTC 时间转换为目标时区。例如,将 `timestamp` 字段转换为 `Asia/Shanghai` 时区: ```json { "script_fields": { "localized_time": { "script": { "source": "doc['timestamp'].value.withZoneSameInstant(ZoneId.of('Asia/Shanghai'))" } } } } ``` 此方式在返回结果中生成一个新字段 `localized_time`,其值为本地时区时间。 #### 3. 在 `date_histogram` 聚合中指定时区 当进行时间聚合时,可通过 `time_zone` 参数指定聚合所使用的时区,确保聚合结果基于本地时间进行计算: ```json { "size": 0, "aggs": { "events_over_time": { "date_histogram": { "field": "timestamp", "calendar_interval": "day", "time_zone": "+08:00" } } } } ``` 该配置将按 UTC+8 的时间进行每日聚合。 #### 4. Kibana 中设置默认时区 Kibana 提供了全局时区设置,可以在界面中选择时区,确保时间字段在图表和日志展示中正确反映本地时间。该设置不会影响 Elasticsearch 内部存储时间,仅用于前端展示: - 进入 Kibana → Stack Management → Advanced Settings - 设置 `dateFormat:tz` 为 `Asia/Shanghai` 或其他目标时区 此方式适用于希望统一展示时区而不修改数据源或查询逻辑的场景。 #### 5. 数据写入阶段处理时区 如果数据源(如 Logstash)在写入时间戳时已包含时区信息,则应确保其格式与 Elasticsearch 映射中的 `date` 格式一致。例如,使用 `yyyy-MM-dd HH:mm:ssZ` 可确保时区偏移被正确识别和存储: ```python import time timestamp = 1462451334 time_local = time.localtime(timestamp) dt = time.strftime("%Y-%m-%d %H:%M:%S%z", time_local) print(dt) # 输出格式为 2016-05-05 20:28:54+0800 ``` 此方式确保时间戳在写入时已包含时区信息,便于后续转换[^2]。 ### 综合建议 - **数据写入时**:确保时间字段格式包含时区信息,或使用 UTC 标准时间。 - **索引映射中**:定义 `date` 类型字段并指定支持的日期格式。 - **查询阶段**:根据需求使用 `script` 或 `time_zone` 参数进行本地时区转换。 - **前端展示**:在 Kibana 中设置默认时区,确保统一展示效果。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值