filebeat+kafka+logstash+elasticsearch+kibana+hadoop

Logstash | 作者 wzfxiaobai | 发布于2019年04月10日 | 阅读数:274

请问如何将filebeat收集的日志信息的时间替换掉logstash+kafka处理完以后的时间戳
已邀请:

wzfxiaobai - 90后it民工

赞同来自:

在日志中抽取日志生成的时间戳,去替换logstash定义的时间戳,但是还存在时区的问题

sa_linux - https://ops-coffee.cn

赞同来自:

logstash在处理数据时会自动生成一个字段@timestamp,默认情况下这个字段存储的是logstash收到消息的时间,kibana排序是根据@timestamp来的,一般情况下我们只会将这个时间替换成日志内的时间,不明白为啥要替换成处理完的时间有啥意义?看这个:
 https://mp.weixin.qq.com/s/qOw1a83pQImXiDRRZ0e9Aw

要回复问题请先登录注册