搭建ELK日志系统过程中发现了一个时区(Kibana上查看日志时间差8小时)问题,搜索折腾后找到解决方案
将/usr/share/filebeat/module/nginx/error/ingest/pipeline.json
里面的
|
|
改成
|
|
然后
|
|
问题起因
- nginx 的 error_log 里面的时间是根据服务器时区来写入的, 而且格式是
YYYY/MM/dd H:m:s
不包含时区信息 - filebeat的nginx模块定义的
pipeline.json
处理error_log时候是当成UTC时区来处理的 - 所以存进ES的时间是快了8小时的(中国)
解决方案
- 修改相关的
pipeline.json
定义, 让ES用目标时区处理时间 - 其实服务器时区可以都设置为UTC, 这在跨时区服务器上会比较好处理问题