data e hora +5 horas de logstash

Navegue suas respostas
1

Estou usando o logstash para enviar dados do syslog para o elasticsearch. Tudo está funcionando bem, exceto que o agente logstash está enviando dados com o timestamp +5 horas.

Aqui está minha configuração: 

input {
  file {
    type => "syslog"
    # modify to path to suit your local syslog configuration.   
    # The below will recursively grab all files in /var/log/rsyslog that end in .log
    path => ["/var/log/syslog", '/var/log/auth.log', '/var/log/faillog', '/var/log/mail.log', '/var/log/postgresql/postgresql-9.1-main.log']
    # comment out below after logstash has slurped in all of your existing logs otherwise
    # you risk it double indexing if you lose your sincedb file.
    #start_position => "beginning"
  }

  file {
    type => "jbosslog"
    path => [ "/data/jboss-4.2.3.GA/server/bla/log/server.log" ]
  }


}

output { 
  redis { 
    # change below to the hostname or ip address of your redis server.  can add more than one redis host.
    host => [ "192.168.117.39" ] 
    data_type => 'list' 
    key => 'logstash'
    batch => true
  }
  stdout { }
}

O stdout de um log se parece com: 

2013-03-06T17:03:56.934Z file://bla/var/log/postgresql/postgresql-9.1-main.log: 2013-03-06 12:03:56 EST LOG:  archive command failed with exit code 12
    
por mako_reactor 06.03.2013 / 18:22

1 resposta

2

O timestamp que você deu no seu exemplo parece estar correto. Foram cerca de 18 minutos antes de você postar esta pergunta.

Parece que seu servidor (presumo que você tenha um bom motivo, mas você pode não estar) está configurado com um fuso horário de US / Eastern ou algo semelhante. Mas o logstash registra tudo com a hora UTC, para evitar uma ampla variedade de problemas que ocorrem ao armazenar e processar o horário local.

    
por 07.03.2013 / 00:05

Tags

Ocultar todos os diretórios em uma pasta do índice, mas não seu conteúdo o Windows sshd_block ainda funciona, funciona com o Windows 2008 ou existe uma alternativa? [fechadas]