在logstash中,默认会有一个时间字段,用于记录当前收集日志的时间戳,正常情况下没什么问题。当第一次收集日志,或者使用缓存写入的时候,就会发现timastamp会和实际的时间发生偏差。
那么我建议最好使用日志中的时间,转化为logstash的timestamp。
在filter中加入
date { match => ["timeLocal": "dd/MMM/yyyy:HH:mm:ss Z"] }
相关文章:
相似解决方案
热门标签
在logstash中,默认会有一个时间字段,用于记录当前收集日志的时间戳,正常情况下没什么问题。当第一次收集日志,或者使用缓存写入的时候,就会发现timastamp会和实际的时间发生偏差。
那么我建议最好使用日志中的时间,转化为logstash的timestamp。
在filter中加入
date { match => ["timeLocal": "dd/MMM/yyyy:HH:mm:ss Z"] }
相关文章: