ELK系列(五)、Logstash修改@timestamp时间为日志的产生时间

最新推荐文章于 2026-05-20 08:50:02 发布
原创 最新推荐文章于 2026-05-20 08:50:02 发布 · 1.3w 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
本文为博主原创文章,转载请注明出处http://blog.csdn.net/wsdc0521
标签
#elk #logstash #kibana #nginx #监控
本文介绍如何配置Logstash,使其在收集nginx日志时使用日志的真实时间戳,而非采集时间,以便于后续数据分析。通过修改配置,将@timestamp字段替换为日志中的timestamp字段,实现更精确的时间过滤和排序。

上一篇讲了如何使用Logstash监控nginx日志并打印到控制台或导入到ES中,在kibana的discover中我们可以根据@timestamp时间对数据进行过滤和排序,但这里显示的@timestamp时间是指logstash读取到日志的时间而不是日志真正产生的时间,本篇就介绍如何配置使logstash在采集日志的过程中使用日志的真实时间戳作为消息体的时间戳,便于我们之后的分析

ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0

ELK系列(二)、在Kibana中使用RESTful操作ES库

ELK系列(三)、安装Logstash插件及打包离线安装包

ELK系列(四)、Logstash读取nginx日志写入ES中

-----------------------------------修改logstash消息体中的@timestamp为日志产生时间--------------

介绍

之前读取nginx日志的消息体如下,可以看到这里的@timestamp和message中的时间戳不一致,而timestamp和message中的时间是一致的,那么我们可以修改@timestamp指定为timestamp。

{
           "verb" => "GET",
       "@version" => "1",
       "referrer" => "\"-\"",
           "host" => "node01",
           "type" => "system",
      "timestamp" => "23/May/2020:21:00:19 +0800",
          "agent" => "\"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\"",
    "httpversion" => "1.1",
           "path" => "/usr/local/nginx/logs/access.log",
     "@timestamp" => 2020-05-23T13:56:05.419Z,
       "clientip" => "192.168.142.1",
          "ident" => "-",
        "message" => "192.168.142.1 - - [23/May/2020:21:00:19 +0800] \"GET / HTTP/1.1\" 200 612 \"-\" \"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36\"",
       "response" => "200",
          "bytes" => "612",
        "request" => "/",
           "auth" => "-"
}

配置

配置如下,只需要修改filter的部分即可:

vim config/logstash_nginxlog2es_timestamp.conf

input {
   # 从文件读取日志信息
   file {
        path => "/usr/local/nginx/logs/access.log"
        type => "nginx_access"
        start_position => "beginning"
    }
 }

filter {
    grok {
      match => { "message" => "%{HTTPD_COMBINEDLOG}" }
    }
    date {
      match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] #匹配timestamp字段
      target => "@timestamp"  #将匹配到的数据写到@timestamp字段中
    }
}

output {
       # 输出es
       elasticsearch {
          hosts => ["wykd:9200"]
          index => "nginx-%{+YYYY.MM.dd}"
      }

}

验证

先删除之前在es中的索引以及sincedb文件,然后重新启动logstash:

bin/logstash -f config/logstash_nginxlog2es_timestamp.conf

在kibana中查看此时@timestamp已经是日志中的timestamp,该日志真正的产生时间,而不是logstash的采集时间了。

 

希望本文对你有帮助,请点个赞鼓励一下作者吧~ 谢谢!

Elasticsearch-新增数据时自动生成 @timestamp 时间字段
杨杨杨~~的博客
04-10 839
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!创建一个 Pipeline"description": "自动添加 @timestamp 字段","set": {"title": "jstat命令查看jvm的GC信息1","author": "哈喽sds",验证:“size”: 20。
ELK之Filebeat输出日志格式设置及输出字段过滤和修改
一掬净土
01-15 2939
ELK之Filebeat输出日志格式设置及输出字段过滤和修改
保姆级教程:用AndroidTool_v2.69给RK3399开发板烧录Linux Qt镜像(附驱动安装避坑指南)
最新发布
weixin_30340617的博客
05-20 621
本文提供了一份详细的RK3399开发板Linux Qt系统烧录指南,涵盖驱动安装、Loader模式进入、镜像烧写等关键步骤,并附有常见问题解决方案和避坑技巧。特别针对RK3399开发板的特性,提供了实用的烧录工具配置建议和进阶优化技巧,帮助开发者高效完成系统烧录。
ELK入门()——messages和log日志生成时间替换时间戳(grok+data)
Netceor的博客
01-22 3814
一、参考网站 官方预定义的 grok 表达式:https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns grok·ELKstack中文指南:https://elkguide.elasticsearch.cn/logstash/plugins/filter/grok.html Logstash基础正则地址:https://github.com/elastic/logstash
Logstash日志产生时间替换@timestamp
零度的博客专栏
07-02 2万+
一、跟着官网学习一下date插件      日期过滤器用于从字段中解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动中没有找到正确的日期,那么稍后搜索它们可能会排序错...
ELK日志分析平台-记录实际应用中碰到的问题
兔纸先森的后花园
08-05 978
1、为什么@timestamp字段在终端的显示与在Kibana上的显示不一致? 原因:对于Elasticsearch内部,时间字段统一采用UTC时间进行管理,这也是运维领域的一个通识; 解决方案:但Kibana会读取浏览器的当前时区,然后在页面上转换时间字段的显示。建议接受这个设置。 2、解析日志时,tags字段为什么会出现_grokparsefailure和_dateparsefailure? 原因:若存在log内容与 grok/date插件中的match 语从句不匹配,logstash会自动在t
logstash如何将日志中字符串类型的时间转化成@timestamp
热门推荐
桃花惜春风
09-13 3万+
ELK组合中我们在outputs/elasticsearch中常用的%{+YYYY.MM.dd}来创建索引,而这种写法是必须要读@timestamp这个字段的。默认情况下@timestamp字段显示的是当前时间,但我们可能需要记录的是日志中的字符串类型的时间,所以我们需要把日志中字符串类型的时间覆盖掉@timestamp中的当前时间。 创建配置文件 code.conf input {
搭建ELK环境 logstash 时间差8小时问题
hxb_hexiaobo的博客
05-22 2713
公司线上日志是通过logstash接收并上传的,使用版本是logstash2.3,发现@timestamp经常少8个小时; 处理逻辑如下,无需修改插件源码 input { stdin {} } output { stdout { codec => rubydebug } } filter { date { match => ["message","UNIX_MS"]#m...
JB3-6-ELK
周航宇的博客
06-13 2268
ElasticSearch基础,倒排索引原理,Kibana容器,IK中文分词器,REST常用操作,LogStashELK日志收集,ELK同步MySQL,ElasticSearchRepository 等。
linux 日志 时间格式,ELK日志时间格式化
weixin_32155269的博客
05-02 692
最近在使用elk收集日志的时候,发现日志顺序是错乱的,网上查了下,确实存在这种问题,日志的顺序错乱,会直接导致开发在通过elk查找日志上下文的时候,找不到对应正确的上下文片段,导致开发不能正确的定位问题,我在网上也查看了一些资料,说实话,这方便的资料很少。经过网上资料,再结合自己的测试,最后终于找到了解决方案。就是对es的@timestamp字段重新赋值,把日志时间字段作为新的数值赋值给@tim...
logstash处理@timestamp时区
进击的豌豆的博客
09-08 2635
input { stdin { } } filter { #ruby { # code => "event.set('timestamp', event.get('@timestamp') + 8*60*60)" # code => "event.set('aaa', event.get('@timestamp').time.localtime)" # code => "event.set('bbb', event.timestamp.time.localtime +
Logstash日志产生时间替换@timestamp;并且防止Elasticsearch重启ouput
qq_28654061的博客
11-22 695
logstash
logstash毫秒时间戳转日期以及使用业务日志时间戳替换原始@timestamp
发现问题,面对问题,分析问题,解决问题,总结问题
02-11 3101
详细观察内部数据发现其中日志数据有一个timestamp字段保存的是业务日志的毫秒级时间戳,经过和@timestamp数据对比发现二者的时间不匹配。经过分析得知@timestamp是按照logstash插入es数据的时间来排序,而且数据是按照批次来的,每一批次的时间可能都是大径相同,结果就是导致上面描述的一系列问题。
logstash elasticsearch ealstalert 关于@timestamp的处理
qq_22398523的博客
06-18 2441
一、需求 1、logstash采集日志数据,并将日志数据写入 ES 集群中,其中@timestamp采用北京时间(默认为ISO8601) 2、elastalert 间隔60秒运行一次规则文件,如果查询到匹配规则文件的日志,则告警。elastalert默认是查询 @timestamp,并在内部转换为 ISO8601 格式的时间。 二、解决方案 1、 logstash 执行时指定的配置文件,在...
logstash默认timestamp时间戳值修改日志中提取的时间
Zhang Phil
06-12 3210
logstash中的timestamp时间时间由logtash在采集到日志时间时候自动设置,有些时候,需要把这个默认的timestamp时间修改日志数据中提取到的时间,使两者一致。可以通过配置文件实现: 上述配置的grok将匹配每一行日志中开始的[]里面的数据作为时间放入到logtime中,然后在date里面,将按照yyyy-MM-dd HH:mm:ss.SSS的日期时间格式把时间最终覆盖系统默认的timestamp中。也可以通过ruby代码实现把自己提取到的日志时间作为系统默认的时间戳:...
解决logstash创建es索引默认使用@timestamp的UTC时间所导致的时区问题
u013905744的专栏
09-20 6809
场景: 有一个用户行为日志的统计,其使用logstash过滤后放到es里面。 脚本是这样 每天记录加入一个field,指定其位置 根据这个filed,放到es指定的index中 问题: 2019.09.17的index 2019.09.16的index 显然遇到了时区转换问题 原因: logstash创建es索引默认使用@timestamp的UTC时间 ....
ELK测试 logstash 配置,包含解析时间字段
u011007997的专栏
05-21 1155
input { #使用beats 收集 日志 beats { port => "5044" } } filter { if[fields][logtype]=="access" { grok { match => { "message" => '%{HTTPDATE:logdate}' #...
logstash 中关于 @timestamp 时区解决
YoFog的博客
05-08 4888
在使用logstash时,默认使用了一个时间字段@timestamp,@timestamp时间使用的是utc时间,在kibana中展示时,一般自己会增加新字段,不影响判断。但是最近需要使用----elastalert,监测waf的拦截日志然后通过企业微信进行告警,触发时间如果再使用--@timestamp,会对一些信息接收人产生误解,所以要将@timestamp时间转换成本地date时间。 综合参考其他人的方案,在logstash中,监测对象配置里的--filter中添加代码是最直接方便的。重启logs.
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 9821
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
ELK日志排序混乱
luoqinglong的专栏
11-10 4061
1、现象 环境使用的是7.4,filebeat,kafka,logstash,es 排序字段是@timestamp,由于是filebeat批量收集提交的,所以该字段的值是一样的。而右边message中的日志没有按照log打印的时间排序,有部分时间日志在中间,如下图 2、分析 @timestamp字段是经过filebeat处理时添加的,可以通过修改filebeat配置文件,把收集后的日志输出到本地文件,可以看出来多了时间字段。 3、解决方案 这里采用logstash重写@timesta.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王义凯_Rick

遇见即是缘,路过就给个评论吧~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值