ELK之Logstash解析时间相差8h的问题

一掬净土2023-11-12 23:05

一、问题描述

服务器当前时间为:2022年 06月 28日 星期二 11:24:22 CST

而logstash解析的时间为2022-06-28T03:15:25.545Z与实际时间相差8h

一、解决办法:

需改logstash的配置文件:

原理就是:定义一个中间变量timestamp,值设置为当前@timestamp值+8h;然后将timestamp的值再赋给@timestamp,最后再删除timestamp。

bash 复制代码 
filter{
  grok{
    match => {"message" => "%{COMBINEDAPACHELOG}" }
  }
  ruby {
    code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"
  }
  ruby {
    code => "event.set('@timestamp',event.get('timestamp'))"
  }
  # 配合上面处理timestamp少8h的问题
  # mutate {
  #   remove_field => ["timestamp"]
  # }
 mutate{
   # 移出特定字段
    remove_field => ["host","mac","timestamp"]
 }

三、结果展示

OK,时间已经变为正常时间。

ES里接收的数据也正常了:

END

相关推荐
Elastic 中国社区官方博客1 天前
Elasticsearch:在 Streams 中使用 ML 自动化 log 解析
大数据·运维·elk·elasticsearch·搜索引擎·自动化·全文检索
better_liang1 天前
每日Java面试场景题知识点之-ELK技术栈在Java企业级项目中的应用
java·elk·elasticsearch·微服务架构·kibana·logstash·日志管理
三不原则3 天前
ELK 栈入门:日志收集与分析的基础配置步骤
elk
eight *4 天前
docker部署elk+filebeat日志收集分析系统
elk·docker·容器
Familyism4 天前
ELK 全链路核心知识
elk
oMcLin4 天前
如何在 Linux 服务器上部署 ELK 日志分析系统(技术深度详解)
linux·服务器·elk
Elastic 中国社区官方博客5 天前
使用 Elasticsearch 中的结构化输出创建可靠的 agents
大数据·人工智能·elk·elasticsearch·搜索引擎·ai·全文检索
时空无限5 天前
EFK 中使用 ruby 和 javascript 脚本去掉日志中颜色字符详解
linux·javascript·elk·ruby
随风语9 天前
ELK日志分析
elk·elasticsearch
阎*水9 天前
ELK 企业日志分析系统总结
elk
热门推荐
01GitHub 镜像站点02手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04jdk21下载、安装(Windows、Linux、macOS)05Linux下V2Ray安装配置指南062025 最新教程:注册并切换到美区 Apple ID07GitLab 零基础入门指南:从安装到项目管理全流程08Claude Code Skills 实用使用手册09UV安装并设置国内源10Labelme从安装到标注:零基础完整指南