Logstash:自定义时间戳的1小时差异

时间:2015-03-03 11:02:28

标签: timestamp logstash kibana

我在Logstash中使用自定义时间戳字段(我的日志文件中存在一个而不是Logstash的@timestamp字段),虽然此时间戳在Kibana中创建并可用,但似乎总是有1小时与我提取的实际时间戳的差异。

例如,以下是我的结果来源的实际数据:

  

消息: 2015-02-02 08:00:36,390 INFO [主要] [...]

     

logtimestamp:“ 2015-02-02T07:00:36.390Z

我尝试删除并更改localetimezone 日期字段,但没有成功。

filter {
  grok {
    patterns_dir => "../patterns"
    match => [ "message", "%{LOGTIMESTAMP:logtimestamp}" ]
    tag_on_failure => [ ]
  }
  date {
    locale => "en"
    timezone => "Europe/Paris"
    match => [ "logtimestamp", "yyyy-MM-dd HH:mm:ss,SSS" ]
    target => "logtimestamp"
  }
}

感谢任何帮助。

2 个答案:

答案 0 :(得分:0)

时间戳以UTC格式存储在Kibana中,与您在timezone过滤器中提供的内容无关。此时区标识来源,而不是目标时区。

因此,您的结果可能会显示在Kibana中,时差为1小时。这是因为在大多数日子里巴黎比UTC早一个小时。所以,这种行为是完全有意的。

有一个问题是允许在本地时间显示@timestamp:https://github.com/elasticsearch/kibana/issues/95,它暂时关闭并标记为已实现。它位于Kibana的用户设置中。

答案 1 :(得分:0)

按照logstash.conf上的下一个订单

date {
    match => [ "my_date" , "ISO8601" ]
    timezone => "America/Mexico_City"
    target => "my_date"
}

Att:hec0160

相关问题
最新问题