因?yàn)閘ogstash默認(rèn)使用的UTC時(shí)間，我們現(xiàn)在處于的是東八區(qū)CST（CST=UTC+8h），也就是UTC時(shí)間是比我們慢8個(gè)小時(shí)的，當(dāng)UTC時(shí)間到00:00的時(shí)候，會(huì)觸發(fā)生成新的索引，這時(shí)候我們就已經(jīng)到了08:00；

1、索引的創(chuàng)建時(shí)間或日志寫入es的時(shí)間是根據(jù)默認(rèn)的"@timestamp"字段來(lái)創(chuàng)建寫入的，所以直接給"@timestamp"加上8小時(shí)即可；這樣，索引生成的時(shí)間就是00:00了

filter {date {  match =>["log_time", "yyyy-MM-dd HH:mm:ss.SSS"]
          target =>"@timestamp"
        }
        ruby {  code =>"event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"
        }
        ruby {  code =>"event.set('@timestamp',event.get('timestamp'))"
        }
        mutate {  remove_field =>["timestamp"]
        }
    }
}

• date插件：將@timestamp字段替換為我日志中的log_time字段，主要是將日志寫入es的時(shí)間修改為我日志生成的時(shí)間；
• ruby1:：將"@timestamp"字段的時(shí)間+8個(gè)小時(shí)賦值給新的"timestamp"字段
• ruby2：將"timestamp"字段再賦值給"@timestamp"字段
• mutate：刪除多余的"timestamp"字段

如下：
修改后觀察第二天索引的創(chuàng)建時(shí)間戳已正常改為凌晨00:00

2、還有一點(diǎn)是需要將kibana的顯示時(shí)間改為UTC，默認(rèn)kibana是自動(dòng)根據(jù)瀏覽器"Browser"的時(shí)間來(lái)的，這樣會(huì)導(dǎo)致我們現(xiàn)在的時(shí)間+8小時(shí)；當(dāng)改為UTC后+8h正好符合我們現(xiàn)在的時(shí)間

使用kibana的默認(rèn)時(shí)間"Browser"顯示日志如下

可以看出kibana顯示的時(shí)間為瀏覽器的時(shí)間東八區(qū)時(shí)間CST(CST=UTC+8h)+8h，所以會(huì)比我們實(shí)際日志產(chǎn)生的時(shí)間多了8h，即只需要將kibana的顯示時(shí)間改為UTC即可；

kibana7.x修改顯示的時(shí)間為UTC：
kibana界??標(biāo)依次點(diǎn)擊如下:
(1)菜單欄;
(2)StackManagement；
(3)Kibana；
(4)高級(jí)設(shè)置；

kibana6.x修改顯示的時(shí)間為UTC：
kibana界??標(biāo)依次點(diǎn)擊如下:
(1)菜單欄;
(2)管理
(3)Kibana；
(4)高級(jí)設(shè)置；

kibana修改顯示的時(shí)間為UTC格式后，日志如下：

顯示時(shí)間一切正常；

簡(jiǎn)單來(lái)說(shuō)解決方案就是兩步

(1)把logstash由默認(rèn)的UTC時(shí)區(qū)修改為我們的東八區(qū)CST（CST=UTC+8h），也就是把logstash的默認(rèn)"索引的創(chuàng)建時(shí)間或日志寫入es的時(shí)間"+8h；

(2)將kibana默認(rèn)的瀏覽器時(shí)間"Browser"(東八區(qū))改為UTC時(shí)區(qū)；

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級(jí)服務(wù)器適合批量采購(gòu)，新人活動(dòng)首月15元起，快前往官網(wǎng)查看詳情吧