elasticsearch时间字段的处理

最新推荐文章于 2025-06-01 09:02:30 发布
最新推荐文章于 2025-06-01 09:02:30 发布
阅读量6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 大数据 SSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/watcher0111/article/details/79312715
本文介绍如何确保Elasticsearch索引映射与Logstash解析的数据字段一致性,包括解决因字段名称不匹配导致的问题,以及配置Logstash从Redis读取JSON数据并将其正确导入ES的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,确报创建索引是的mapping字段和json写入的字段名称一致,否则会有意想不到的问题。刚开始,redis里的json字符串字段为regular_detail_hour,但是,我在创建索引时写的为:regular_detail_time。通过logstash写入到ES,并不报错,只是新建了一个叫regular_detail_hour的字段。
通过bean实例化了一个json,然后通过RedisTemplate

 ListOperations<String,String> liststring=redisTemplate.opsForList();
        liststring.rightPush(key,value);
        return(true);

写入到redis数据,list类型。
logstash会通过消息队列类型的操作去读取数据,读完就删。

input {
    redis {
             host => "172.19.112.4"
             data_type => "list"
             key => "di"
             type => "di"
          }
}

filter {
  if [type] == "di" {
    json { source => "message"}
    mutate { remove_field => ["message","tags"] }
    date { match => [ "rept_col_time", "yyyy-MM-dd HH:mm:ss" ]  
           target =>"@timestamp"
           locale => "en"  
           timezone => "+00:00"    
         }  
     }
}

output {
   if [type] == "di"{
    if "_grokparsefailure" not in [tags] and "_groktimeout" not in [tags]{
       elasticsearch {
         hosts => ["10.96.91.208:9200","10.96.91.209:9200","10.96.91.210:9200","10.96.91.211:9200"]
         index => "di"
      }
   }
  }
}

另一边,ElasticSearch,也进行日期类型的处理,必须和json字符串的格式一样,否则出错。

put di
{
   "mappings" : {
        "di" : {
                 "properties" : {
                                  "@timestamp": {"type": "date"},
                                  "@version": {"type": "text","fields": {"keyword": {"type": "keyword","ignore_above": 256}}},
                                  "rpt_id" : { "type" : "keyword" },
                                  "iiiii" : { "type" : "keyword" },
                                  "data_type" : { "type" : "keyword" },
                                  "rpt_arrive_time" : { "type" : "date","format": "yyyy-MM-dd HH:mm:ss"},
                                  "filename" : { "type" : "keyword" },
                                  "observe_time" : { "type" : "date","format": "yyyy-MM-dd HH:mm:ss" },
                                  "regular_detail_hour" : { "type" : "date" ,"format": "yyyy-MM-dd HH:mm:ss"},
                                  "bbb" : { "type" : "keyword" },
                                  "rept_validity" : { "type" : "short" },
                                  "rept_status" : { "type" : "short" },
                                  "rept_col_time" : { "type" : "date","format":"yyyy-MM-dd HH:mm:ss"},
                                  "data_source" : { "type" : "keyword" },
                                  "data_source_name" : { "type" : "keyword" },
                                  "part_day" : { "type" : "short" },
                                  "data_type_new":{"type" : "keyword"}
            }
        }
    }
}

至此结束

ElasticSearch第八讲 ES索引字段映射类型以及动态映射相关操作
程序员路同学
09-04 1681
ElasticSearch第八讲 ES索引字段映射类型以及动态映射相关操作
Elasticsearch-Date字段类型
qq_37107851的博客
08-21 1601
JSON没有日期数据类型,因此Elasticsearch中的日期可以是: 包含格式化日期的字符串,例如“2015-01-01”或“2015/01/01 12:10:30”。 表示自历元以来的毫秒数。 表示自历元(配置)起的秒数。 注意:自历元起的毫秒值必须为非负。使用格式化日期表示1970年之前的日期。 在内部,日期转换为UTC(如果指定了时区),并存储为表示自历元起毫秒数的长数字。 日期查询在内部转换为此长表示形式的范围查询,聚合和存储字段的结果根据与字段关联的日期格式转换回字符串。 注意:日
Elasticsearch为记录添加时间戳timestamp
热门推荐
王浩的技术博客
08-02 8万+
时间戳(timestamp)是表明某条数据产生的时间,代表了此数据在一个特定时间点已经存在的证据。本文描述了在Elasticsearch添加时间戳的方式:手动和自动两种。
Elasticsearch数据转换功能全面解析
gitblog_00182的博客
06-01 364
Elasticsearch数据转换功能全面解析 概述 Elasticsearch的数据转换功能(Transforms)是一种强大的数据处理工具,它允许用户在不修改原始数据的前提下,通过聚合和重组操作创建新的分析友好型索引。这项功能特别适合需要对海量数据进行汇总和分析的场景。 数据转换功能具有以下核心特点: 非破坏性操作:所有转换操作都会创建全新的目标索引,原始数据保持完整不变 两种转换模式:支持...
Elasticsearch教程11】Mapping字段类型之日期时间date date_nanos
Java Spring Elasticsearch
08-30 6698
JSON没有date类型,但我们可以把以下类型作为日期时间存入ES。类型说明字符串日期格式的字符串,如"2015-01-01"或"2015/01/01 12:10:30"长整型从开始纪元(1970-01-01 00:00:00 UTC)开始的毫秒数整型从开始纪元(1970-01-01 00:00:00 UTC)开始的秒数上面的UTC(Universal Time Coordinated) 叫做世界统一时间,中国大陆和 UTC 的时差是 + 8 ,也就是 UTC+8。在ES内部,时间以。...
Elasticsearch 插入时间字段时数据格式问题
weixin_43455473的博客
03-04 2126
elasticsearch 时间格式 elasticsearch创建index的之后,可以设置mapping。 如果mapping中没有设置date的format,那么默认为两种格式 strict_date_optional_time||epoch_millis ,其中新版strict_date_optional_time移除了前缀strict_。 date_optional_time 此格式为ISO8601标准 示例:2018-08-31T14:56:18.000+08:00 epoch_milli
Elasticsearch:从 Elastic Stack 中的时间戳谈开去
Elastic 中国社区官方博客
08-11 2726
时间戳,也就是 timestamp, 它在许多的事件中,特别是时序数据中是一个不可少的字段。它记录事件或文档的时间。在我们对数据可视化时,也是非常重要的一个字段。针对时序时间,在我们对数据创建 index patterns 或者 date views 时,我们需要选择时间戳的字段。...
时间处理核心原理与Easy-ES实战避坑指南
lucky_love816的博客
03-31 988
由于我们项目中引入了es组件,针对es中存储了很多关于日期的问题,由于我们项目需要实现国际化所以肯定需要考虑时区问题,所以es中日期相关的字段都采用了时间戳,那如何优雅的将业务中不同类型的日期值在写入到es中转换成时间戳的问题进行了延伸,包括前期一篇博客也发布了关于时区问题的处理给出的代码是Java语言,涉及到一个类的字段定义和设置方法。具体来说,用户有一个result对象,调用了setClientTime方法,传入的参数是data.getClientTime()。
Elasticsearch实战系列(七)--ES字段的定义
吴小豪的博客
07-18 3049
一、字段的类型 核心类型 字符串text和keyword 数值 日期 布尔 其它类型 核心类型派生的复杂类型数组 嵌套类型,它允许在文档中包含其它文档 字符串text和keyword 其中text分词用于全文检索,而keyword不分词用于聚合和排序 数值类型 可以是浮点数、也可以是非浮点数。如果不需要小数,可以选择byte、short、int或者lon...
【开源社区】ElasticsearchES)中空值字段 null_value 及通过exists查找非空文档
Elastic开源社区
08-09 2422
字段,而此时源数据和搜索词都会被分词,如果给出了 null_value,ES 就不知道应不应该给这个 null_value 的值分词了,null_value 替换的原本就是索引数据,如果分词可能会影响搜索结果的准确性,使用户得到意想不到的结果,但是如果部分词又违背了 text 类型的设计理念和规则,因此选择了不支持。:在全文检索中,空值本来就会被作为停用词处理,在分词过程中就会被“干掉”,即便我们使用 term 做精准查询,不会被分词,空值也不会被创建索引,因此无法匹配到任何结果,这一点不同于关系数据库。
elasticsearch之日期类型有点怪
无风听海
02-15 1452
通过以下代码可以看到,左边界的值会覆盖new MutableDateTime(1970, 1, 1, 0, 0, 0, 0, DateTimeZone.UTC)对应的位置的数字,右边界的值会覆盖ew MutableDateTime(1970, 1, 1, 23, 59, 59, 999, DateTimeZone.UTC)对应位置的数字;索引数据的时候,elasticsearch内部会基于UTC时间,将传入的数据转化为基于milliseconds-since-the-epoch的一个长整型数字;
ElasticTimezone:将每个时区转储到Elasticsearch服务器中以进行超快速查询
05-17
这是什么 将每个时区转储到Elasticsearch服务器中以进行超快速查询 如何 node index.js --host=myhost --index=myindex 参数 主机(localhost:9200); 指数(geo-zones-test); 类型(TimeZone); 极限(5);
Elasticsearch高级搜索技术-基于时间的数据处理
weixin_43298211的博客
10-15 1517
在执行时间范围查询时,Elasticsearch 会将查询中的时间范围与文档的时间戳进行比较,并返回符合条件的结果。为了便于管理和查询,推荐使用标准的 ISO 8601 格式,例如。Elasticsearch 还支持多种日期格式,并且可以在映射中指定这些格式。查询来根据时间范围过滤文档。,表示 UTC 时间 2023 年 1 月 1 日上午 8 点。字段并将其存储为内部的时间戳格式。在 Elasticsearch 中,时间戳通常使用。在这个例子中,我们添加了一条带有时间戳的日志条目。
ElasticSearch时间类型的坑!究竟如何选择使用的格式?
jast
01-16 881
在中,时间字段通常会定义为date类型。这种类型允许我们指定时间格式,帮助 ElasticSearch 解析并存储时间数据。通过mappings来定义时间字段时,可以指定一个或多个时间格式。
Elasticsearch自动使用服务器时间设置日期字段并更新时区
Elastic 中国社区官方博客
09-01 1952
在大多数情况下,你的数据包含一个以 create_date 命名的字段。即使没有日期字段处理各种格式和时区的日期对数据仓库来说也是一个重大挑战。与此类似,如果要检测变化的数据,则必须准确设置日期字段。在 Elasticsearch 中还有一个选项可以自动将服务器的日期设置为字段。我们将使用摄取管道属性的和处理器。
Elasticsearch时区问题
大白能的博客
07-15 1万+
发现问题 创建索引,配置date类型字段 批量插入数据,格式分别为带时区信息,不带时区信息,时间戳 对数据进行聚合 对数据进行查询,分别使用带时区信息,不带时区信息,时间戳三种格式 创建索引,配置字段类型 PUT testdate { "mappings": { "testdate":{ "properties": { "tag":{ ...
Elasticsearch 时区(time_zone)记录
Richar1的专栏
12-21 2万+
elasticsearch 默认是以utc时间存储的,现在我创建了两个索引,分别用存储了utc格式 和localtime格式的时间 使用百度echarts折线图展现对transaction_time聚合的结果 图一是对localtime聚合的结果, 图二是对utc时间聚合的结果, 可以看出,在使用es直方图进行聚合的时候,无论存储的的是localtime 还是utc,都会被转换成utc的
国际化时区-ElasticSearch时区处理
zl
07-08 1935
一、存储格式二、查询统计三、使用建议参考资料一、存储格式JSON 本身没有date类型,Elasticsearch将设置了时区的date转换为UTC时间,将没有设置时区的date直接设置为UTC时间,以long型时间戳存储。官网文档《Date datatype文档》内容如下Date datatypeJSON doesn’t have a date datatype, so dates in Elasticsearch can either be:Internally, dates are converted
elasticsearch date及timezone总结
weixin_40455124的博客
04-14 3975
首先elasticsearch 所有日期保存都是utc,不能修改。 elasticsearch 会识别多种日期,默认支持的日期格式请参看https://www.elastic.co/guide/en/elasticsearch/reference/7.6/mapping-date-format.html#built-in-date-formats Date Mapping 如果一个index 使用...
es时间处理
最新发布
06-10
### Elasticsearch 时间处理方法与教程 在 Elasticsearch 中,时间处理是一项非常重要的功能,尤其是在日志分析、监控和数据检索场景中。以下是关于 Elasticsearch 时间处理的一些关键方法和教程。 #### 1. 时间字段的映射 在创建索引时,需要为时间字段定义正确的映射类型。通常使用 `date` 类型来表示时间字段。例如: ```json PUT my_index { "mappings": { "properties": { "@timestamp": { "type": "date", "format": "strict_date_optional_time||epoch_millis" } } } } ``` 上述代码定义了 `@timestamp` 字段为日期类型,并支持两种格式:标准日期时间格式和毫秒级时间戳[^1]。 #### 2. 查询中的时间范围过滤 Elasticsearch 提供了强大的查询 DSL 来处理时间范围。可以使用 `rangeQuery` 方法来实现时间范围过滤。例如,在 Java 中可以通过以下方式设置时间范围和时区: ```java QueryBuilder rangeBuilder = QueryBuilders.rangeQuery("@timestamp") .format("yyyy-MM-dd'T'HH:mm:ss.SSS'Z'") .timeZone("+08:00") // 设置时区为东八区 .gte("2023-01-01T00:00:00.000Z") // 起始时间 .lte("2023-12-31T23:59:59.999Z"); // 结束时间 ``` 通过 `.timeZone()` 方法可以指定查询时的时区,确保不同地区的时间一致性[^2]。 #### 3. 使用时间戳存储时间 为了提高性能,Elasticsearch 常用时间戳(`epoch_millis`)来存储时间时间戳是以毫秒为单位的 Unix 时间。在插入数据时,可以直接使用时间戳格式。例如: ```json POST my_index/_doc { "@timestamp": 1672531200000 // 2023-01-01T00:00:00Z } ``` 在查询时,也可以直接使用时间戳进行范围过滤: ```json GET my_index/_search { "query": { "range": { "@timestamp": { "gte": 1672531200000, "lte": 1672617600000 } } } } ``` #### 4. 时间格式化与解析 Elasticsearch 支持多种时间格式,包括 ISO 8601 标准格式和自定义格式。如果需要自定义时间格式,可以在索引映射中指定。例如: ```json PUT my_index { "mappings": { "properties": { "custom_date": { "type": "date", "format": "yyyy/MM/dd HH:mm:ss||epoch_millis" } } } } ``` 上述代码定义了一个名为 `custom_date` 的字段,支持两种时间格式:`yyyy/MM/dd HH:mm:ss` 和 `epoch_millis`[^1]。 #### 5. 时间字段的动态映射 如果未显式定义时间字段的映射,Elasticsearch 会尝试自动检测并将其映射为 `date` 类型。但为了避免潜在问题,建议始终显式定义时间字段的映射。 #### 6. 时间分区索引 对于大规模时间序列数据,推荐使用时间分区索引(Time-Based Indexing)。例如,按天或按月创建索引,可以显著提升查询性能。索引名称可以包含日期模板,如 `logs-YYYY.MM.DD`。 ```bash PUT logs-2023.01.01 { "mappings": { "properties": { "@timestamp": { "type": "date" } } } } ``` ### 示例代码 以下是一个完整的 Java 示例,展示如何结合时区和时间范围进行查询: ```java import org.elasticsearch.index.query.QueryBuilders; QueryBuilder rangeBuilder = QueryBuilders.rangeQuery("@timestamp") .format("yyyy-MM-dd'T'HH:mm:ss.SSS'Z'") .timeZone("+08:00") // 设置时区为东八区 .gte("2023-01-01T00:00:00.000Z") .lte("2023-12-31T23:59:59.999Z"); // 构建搜索请求 SearchSourceBuilder sourceBuilder = new SearchSourceBuilder(); sourceBuilder.query(rangeBuilder); ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值