http://www.cnblogs.com/wangpei886/p/8043021.html
使用版本:elk6.0
配置文件:logstash.confg

output {
  elasticsearch {
    id => "logstash-%{+YYYY.MM.dd}"
  }
}

问题:如图14号的数据,结果采集到了15号,慢了8小时,希望得到的结果,是凌晨0点索引自动切换

原因: 原来Logstash用的UTC时间, logstash在按每天输出到elasticsearch时,因为时区使用utc,造成每天8:00才创建当天索引,而8:00以前数据则输出到昨天的索引

查看一些论坛,不建议更改源码,因为logstash和elasticsearch是按照UTC时间的,kibana却是按照正常你所在的时区显示的

解决:修改logstash配置

logstash在按每天输出到elasticsearch时,因为时区使用utc,造成每天8:00才创建当天索引,而8:00以前数据则输出到昨天的索引
在logstash filter 解决

1. 增加一个字段,计算timestamap+8小时

            ruby {
                # 新增索引日期,解决地区时差问题
                code => "event.set('index_date', event.get('@timestamp').time.localtime + 8*60*60)"
            }

2. 用mutate插件先转换为string类型,gsub只处理string类型的数据,在用正则匹配,最终得到想要的日期

  # 定义索引名时间
            mutate {
                 convert => ["index_date", "string"]
                 gsub => ["index_date", "T([\S\s]*?)Z", ""]
                 gsub => ["index_date", "-", "."]
            }

3.output配置

      elasticsearch {
        hosts => ["localhost:9200"]
        index => "log1-%{index_date}"
      }
  • 这里是取系统时间,你可以取你日志里面的时间戳来做索引名
    或许有其他更好的方案!请留言告知
    机会往往留给有准备的人!