問題の説明
UTC時間、logstash前のデータが8時昨日の指標に出力されている間、インデックスを作成する前に、一日8時00分で、その結果、UTCを使用して、タイムゾーンので、一日あたりのelasticsearchする出力とLogstash
#Logstash使用構成elasticsearch書き込み
出力を{
elasticsearch {
ID => "logstash - YYYY.MM.DDの%{+}"
}
}
。1
2
。3
。4
。5
。6
logstashとUTC時間にelasticsearch応じは、kibanaは、によるものですkibanaは、タイムゾーン情報を設定することができますので、あなたのタイムゾーンの表示では、通常の。
この問題を解決します
フィールドを追加します。
次のようにさまざまな方法で実装fileterのlogstashを使用して生成され、このフィールドは、新しいタイムスタンプフィールドが生成されます
#ルビ插件实现
ルビ{
コード=> "event.set( 'タイムスタンプ'、event.get( '@タイムスタンプ')。time.localtime + 8 * 60 * 60)"
}
ログから得られた#GROK正規マッチ
GROK {
。}マッチ=> { "メッセージ" => "タイムスタンプ}%{TIMESTAMP_ISO8601"
}
#日付時刻はログが@timestampの書き換えられる
#dateを{
#マッチ=> "メッセージ"、「^ \ [(<タイムスタンプ> \ 4 {D} - ?\ D {2} - \ {2} D \ D 2} {\ D {2}。:. \ D {2} \ {D} 3) "]
#ターゲット=>" @timestamp "
#タイムゾーン=>" + 08:00 "
#}
1
2
3。
4。
5。
6。
7
8
9
10
11
12である
13である
14
15
16
データ変換プラグが所望の日付フィールドを抽出変異
#は、文字列型、GSUBプロセスにデータのみ文字列型に変換する変換し、規則的な一致で、最終的に所望の日付取得
のmutate {
変換=> [「タイムスタンプ」、「ストリング」]
GSUB => [「タイムスタンプ」、「Tを(?[\ S \ S] *)Z "" "]
GSUB => ["タイムスタンプ"" - ""」]
}
。1
2
。3
。4
。5
。6
設定出力
elasticsearch {
ホスト=> [ "はlocalhost:9200"]
インデックスは=> "ログ- %{タイムスタンプ}"
}
。1
2
。3
。4
注:定期的なマッチングのためGROKを使用する使用することができる方法であるが、ここで見つけることができ
ます。https:// githubの.COM / logstash-プラグイン/ logstash-パターンコア/ BLOB /マスター/パターン/パターンGrok-
https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
GROKテストプラットフォーム
http://grokdebug.herokuapp.com/
----------------
免責事項:この記事はオリジナル記事ですCSDNブロガー「40kuai」、CC BY-SA 4.0の著作権協定、以下、再現し、元のソースのリンクと、この文を添付してください。
オリジナルリンクします。https://blog.csdn.net/u012881331/article/details/88313045