一、问题描述

服务器当前时间为：2022年 06月 28日 星期二 11:24:22 CST
而logstash解析的时间为2022-06-28T03:15:25.545Z与实际时间相差8h

一、解决办法：

需改logstash的配置文件：

原理就是：定义一个中间变量timestamp，值设置为当前@timestamp值+8h；然后将timestamp的值再赋给@timestamp，最后再删除timestamp。

filter{grok{match => {"message" => "%{COMBINEDAPACHELOG}" }}ruby {code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"}ruby {code => "event.set('@timestamp',event.get('timestamp'))"}# 配合上面处理timestamp少8h的问题# mutate {#   remove_field => ["timestamp"]# }mutate{# 移出特定字段remove_field => ["host","mac","timestamp"]}

三、结果展示

OK，时间已经变为正常时间。

ES里接收的数据也正常了：

END