elastic date时区问题解决办法

之前介绍filter date插件时就谈到时区问题，但是没有说明白。最近在使用range查询时间范围内的数据时出现了数据量不一致的情况。特地了解了下ELK Stack中关于时区的问题。

问题:

使用kibana discovery界面搜索时，数据量一致。使用curl 搜索时少了数据。

再说时间问题前，简单了解下UTC:

UTC(Universal Time Coordinated) 叫做世界统一时间，中国大陆和 UTC 的时差是 + 8 ,也就是 UTC+8。

UTC时区参考文档

查看官方文档后得到的结论：

ELK Stack集群各服务对时间处理的介绍：

logstash :根据所在机器的时区并对date类型数据进行处理，整理成UTC时间

elastic :所有date类型数据都存储为GMT(毫秒级)

kibana :根据kibana配置的时区，从elastic取出的timestamp时间转换为相应时区的时间。

问题原因：

logstash处理后以UTC时间存储进elastic,kibana取出来后，在恢复成相应时区的时间。因为我机器都是CST的时间，所以使用kibana搜索没有问题，但是curl命令不会对所取出来的时间进行时区转换，所以就少了8小时数据。

解决方法：

一：

logstash 过滤字段信息时，删除或分开匹配时间和时区信息，timestamp只匹配具体时间，timezone则匹配+0800这样的时区信息，并同时定义timezone为UTC，这样从根本上就得到原始的时间。

UTC时间的示例：

$ bin/logstash -f text.conf
[26/Mar/2019:00:00:08 +0800]      #这里以nginx日志中的时间为例
{
     "timestamp" => "26/Mar/2019:00:00:08",
       "message" => "[26/Mar/2019:00:00:08 +0800]",
    "@timestamp" => 2019-03-26T00:00:08.000Z,        #@timestamp的时间和输入的时间一致
      "@version" => "1",
      "timezone" => "+0800",
          "host" => "node2007"
}

$ cat text.conf
input {
  stdin {}
}
filter {
  grok {
    match => {
      "message" => "\[%{NOTSPACE:timestamp} %{INT:timezone}\]"
    }
  }
  date {
    match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss" ]
    timezone => "UTC"      #无法从timestamp中提取时区。设置时区为UTC时间，忽略系统时区，如果date插件中的match匹配到了时区，则此处的时区不生效。所以在grok插件中将timezone和timestamp分隔开
  }
}
output {
    stdout{
        codec => rubydebug
    }
}

正常时间处理：

$ bin/logstash -f text.conf
[26/Mar/2019:00:00:08 +0800]
{
      "@version" => "1",
    "@timestamp" => 2019-03-25T16:00:08.000Z,       #转换成UTC时间,减少8小时，
       "message" => "[26/Mar/2019:00:00:08 +0800]",
          "host" => "node2007",
     "timestamp" => "26/Mar/2019:00:00:08 +0800"
}

$ cat text.conf
input {
  stdin {}
}
filter {
  grok {
    match => {
      "message" => "\[%{HTTPDATE:timestamp}\]"
    }
  }
  date {
    match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
    timezone => "UTC"
  }
}
output {
    stdout{
        codec => rubydebug
    }
}

系统日志中不带有时区信息，则可以直接在配置文件中指定timezone => "UTC"即可。无需要做匹配工作。

二：

匹配到时区时间没有关系，可以在过滤时，在把时间补回来。

...
	date {
		match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
		target => "time"
	}
	ruby {
	  code => "event.set('timestamp', event.get('time').time.localtime + 8*60*60)"   #处理时将logstash自动减少的时间在给加回来
	}
	ruby {
		code => "event.set('@timestamp',event.get('timestamp'))"
	}
...

以上代码经过我测试，可以正常使用。这里使用ruby插件，我不懂，time -> timestamp -> @timestamp需要经由两个变量才能最后赋值给@timestamp,为什么不能直接使用@timestamp处理并赋值，如果有懂得的人，还请留言告知。

对时间进行处理后，我们可以使用curl命令随意进行查询啦，但是使用kibana时，还需要设置一下默认的时区： Management -> kibana(高级设置) -> Timezone for date formatting 并选择UTC时间展示。

总结：

ELK Stack一整套组合拳的时区特性特别好用，但是在国内还是统一时区吧。统一时区还是再数据存储前做调整，否则后期查询会流泪的。