最近采用logstash采集日志按天产生文件
使用过程中发现logstash timestamp记录的时间戳为UTC时间。
比我们的时区早8个小时。
不能确保每天的数据在同一文件。
造成发送到es里的数据每天早上8点才创建索引,发送的file的数据每天早上8点自动切割。
不符合我们实际的需求。
解决此问题。
方法如下:
方法一、加入filter字段即可解决。
filter { ruby { code => "event.timestamp.time.localtime" } } 方法二、修改logstash源码
vi logstash-2.4.1\vendor\bundle\jruby\1.9\gems\logstash-core-event-2.4.1-java\lib\logstash\timestamp.rb UTC = org.joda.time.DateTimeZone.forID(“UTC”) 修改为: UTC = org.joda.time.DateTimeZone.getDefault() 文章来源: logstash 数据采集时间差8小时问题及解决