1. ホーム
  2. 質問と答え
  3. Kibanaのタイムスタンプ別にログを並べ替えます

Kibanaのタイムスタンプ別にログを並べ替えます

2017-02-09 4 views
0

Timestamps don`t match 私はELK(Elasticsearch、Logstash and Kibana)インスタンスを実行していて、Filebeatは他のマシンからログを送信していますが、ログは木場にサーバーに到着した順序例えば、これはKibanaに示されているものである(あなたは添付の画像で見ることができるように)、2列目にはkibanaのタイムスタンプで、3番目の列には、サーバーのタイムスタンプです:私は、ログに表示何Kibanaのタイムスタンプ別にログを並べ替えます

February 9th 2017, 11:53:11.714 11:53:04,904 
February 9th 2017, 11:53:11.714 11:53:05,579 
February 9th 2017, 11:53:11.714 11:53:05,581 
February 9th 2017, 11:53:11.714 11:53:05,591 
February 9th 2017, 11:53:11.714 11:53:04,441 
February 9th 2017, 11:53:11.714 11:53:05,589

ファイル:

11:53:04,441 
11:53:04,904 
11:53:05,579 
11:53:05,581 
11:53:05,589 
11:53:05,591

木場のログをサーバーに表示されているのと同じ順序で表示するオプションはありますか? 私はそれを探していましたが、私はこのトピックを扱うすべての質問を参照してくださいdidn`tのが、私はそれがLogstash・コンフィギュレーション・ファイル10-のsyslog-filter.confを変更することができることを見て、これは私のものです:

filter { 
    if [type] == "syslog" { 
    grok { 
     match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } 
     add_field => [ "received_at", "%{@timestamp}" ] 
     add_field => [ "received_from", "%{host}" ] 
    } 
    syslog_pri { } 
    date { 
     match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] 
    } 
    } 
}

前もって感謝します。

出典

2017-02-09 kendrick john

答えて

0

私はあなたがKibanaにインデックスを作成しているときのイベントは、Kibanaに示されるべきでtimestampを与えられていないので、それはだと思います。

mutate { 
    add_field => { "received_time" => "%{syslog_timestamp}" } 
    remove_field => ["syslog_timestamp"] <-- since you'll be using the recieved_time field here after 
} 
date { 
    match => [ "received_time", "MMM d HH:mm:ss", "MMM dd HH:mm:ss"] 
    target => "received_time" 
    locale => "en" 
    timezone => "UTC" 
}

これは単なるサンプルであり、再現できるものです。あなたはKibanaに新しいインデックスを作成しているとき、あなたQ.で

を述べたサーバー時間だから、あなたは時間フィールド名を選択するように求められますように私はsyslog_timestampを想定していイベントをフィルタリングするために使用されます。 Kibanaは、ドロップダウンから選択しない限り、ブラウザの時刻に基づいてイベントを表示します。

ですから、logstashのconfを処理したら、私たちは、ドロップダウンでのconfに作成したフィールドreceived_timeを見ることができるはずです。したがって、drop downから選択するだけで、Kibanaは選択したtimestampに基づいてイベントを表示します。またにはタイムゾーンがないことを確認してください。 UTCを使用している場合は、ブラウザのタイムゾーンも詳細設定> dateFormat:tzKibanaに変更してください。それが役に立てば幸い!

出典

2017-02-09 10:14:28 Kulasangar

+0

ELKサーバーとログを送信しているサーバーの間でタイムスタンプを確認しましたが、これは少し異なりますが、問題がありますか? –

+0

2人の時間の違いは何ですか?あなたは私の答えに従ってあなたがしたことの後でですか? – Kulasangar

+0

約2分 –

関連する問題

 関連する問題