因為logstash默認(rèn)使用的UTC時間，我們現(xiàn)在處于的是東八區(qū)CST（CST=UTC+8h），也就是UTC時間是比我們慢8個小時的，當(dāng)UTC時間到00:00的時候，會觸發(fā)生成新的索引，這時候我們就已經(jīng)到了08:00；

1、索引的創(chuàng)建時間或日志寫入es的時間是根據(jù)默認(rèn)的"@timestamp"字段來創(chuàng)建寫入的，所以直接給"@timestamp"加上8小時即可；這樣，索引生成的時間就是00:00了

filter {date {  match =>["log_time", "yyyy-MM-dd HH:mm:ss.SSS"]
          target =>"@timestamp"
        }
        ruby {  code =>"event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"
        }
        ruby {  code =>"event.set('@timestamp',event.get('timestamp'))"
        }
        mutate {  remove_field =>["timestamp"]
        }
    }
}

• date插件：將@timestamp字段替換為我日志中的log_time字段，主要是將日志寫入es的時間修改為我日志生成的時間；
• ruby1:：將"@timestamp"字段的時間+8個小時賦值給新的"timestamp"字段
• ruby2：將"timestamp"字段再賦值給"@timestamp"字段
• mutate：刪除多余的"timestamp"字段

如下：
修改后觀察第二天索引的創(chuàng)建時間戳已正常改為凌晨00:00

2、還有一點是需要將kibana的顯示時間改為UTC，默認(rèn)kibana是自動根據(jù)瀏覽器"Browser"的時間來的，這樣會導(dǎo)致我們現(xiàn)在的時間+8小時；當(dāng)改為UTC后+8h正好符合我們現(xiàn)在的時間

使用kibana的默認(rèn)時間"Browser"顯示日志如下

可以看出kibana顯示的時間為瀏覽器的時間東八區(qū)時間CST(CST=UTC+8h)+8h，所以會比我們實際日志產(chǎn)生的時間多了8h，即只需要將kibana的顯示時間改為UTC即可；

kibana7.x修改顯示的時間為UTC：
kibana界??標(biāo)依次點擊如下:
(1)菜單欄;
(2)StackManagement；
(3)Kibana；
(4)高級設(shè)置；

kibana6.x修改顯示的時間為UTC：
kibana界??標(biāo)依次點擊如下:
(1)菜單欄;
(2)管理
(3)Kibana；
(4)高級設(shè)置；

kibana修改顯示的時間為UTC格式后，日志如下：

顯示時間一切正常；

簡單來說解決方案就是兩步

(1)把logstash由默認(rèn)的UTC時區(qū)修改為我們的東八區(qū)CST（CST=UTC+8h），也就是把logstash的默認(rèn)"索引的創(chuàng)建時間或日志寫入es的時間"+8h；

(2)將kibana默認(rèn)的瀏覽器時間"Browser"(東八區(qū))改為UTC時區(qū)；

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級服務(wù)器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧