我在Logstash中使用自定义时间戳字段(我的日志文件中存在一个而不是Logstash的@timestamp字段),虽然此时间戳在Kibana中创建并可用,但似乎总是有1小时与我提取的实际时间戳的差异。
例如,以下是我的结果来源的实际数据:
消息: 2015-02-02 08:00:36,390 INFO [主要] [...]
logtimestamp:“ 2015-02-02T07:00:36.390Z ”
我尝试删除并更改locale和timezone 日期字段,但没有成功。
filter {
grok {
patterns_dir => "../patterns"
match => [ "message", "%{LOGTIMESTAMP:logtimestamp}" ]
tag_on_failure => [ ]
}
date {
locale => "en"
timezone => "Europe/Paris"
match => [ "logtimestamp", "yyyy-MM-dd HH:mm:ss,SSS" ]
target => "logtimestamp"
}
}
感谢任何帮助。
答案 0 :(得分:0)
时间戳以UTC格式存储在Kibana中,与您在timezone过滤器中提供的内容无关。此时区标识来源,而不是目标时区。
因此,您的结果可能会显示在Kibana中,时差为1小时。这是因为在大多数日子里巴黎比UTC早一个小时。所以,这种行为是完全有意的。
有一个问题是允许在本地时间显示@timestamp:https://github.com/elasticsearch/kibana/issues/95,它暂时关闭并标记为已实现。它位于Kibana的用户设置中。
答案 1 :(得分:0)
按照logstash.conf上的下一个订单
date {
match => [ "my_date" , "ISO8601" ]
timezone => "America/Mexico_City"
target => "my_date"
}
Att:hec0160