关于logstash导入时的Date问题

最新推荐文章于 2024-11-01 11:33:13 发布
原创 最新推荐文章于 2024-11-01 11:33:13 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #json #ruby

本文讨论了Elasticsearch在处理日期数据时的格式要求,包括默认的日期格式和多种可能的表示方式。在导入数据时,特别是通过Logstash,可能需要对日期字符串进行转换以符合ES的格式。文中给出了通过Ruby插件调整Logstash输入日期格式的示例,以确保数据能正确导入到Elasticsearch中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对于从外部数据源导入到es的日期数据,往往呈现出下列的状态

2015-01-01T12:10:30Z

 

elasticsearch 数据是以 JSON 格式存储的,而 JSON中是并没有 date 数据类型,因此 Elasticsearch 中虽然有 date 类型,但在展示时却要转化成另外的格式。date 类型在 Elasticsearch 展示的格式有下面几种:

1)将日期时间格式化后的字符串,如 "2015-01-01" 或者 "2015/01/01 12:10:30"

2)long 型的整数,意义是 milliseconds-since-the-epoch,翻译一下就是自 1970-01-01 00:00:00 UTC 以来经过的毫秒数。

3)int 型的整数,意义是 seconds-since-the-epoch, 是指自 1970-01-01 00:00:00 UTC 以来经过的秒数。

【注】UTC(Universal Time Coordinated) 叫做世界统一时间,中国大陆和 UTC 的时差是 + 8 ,也就是 UTC+8。不论 date 是什么展示格式,在 Elasticsearch 内部存储时都是转换成 UTC,并且把时区也会计算进去,从而得到 milliseconds-since-the-epoch 并作为存储的格式。

 

在ES中,Date类型的默认格式如下:

"strict_date_optional_time||epoch_millis"

这里的"strict_date_optional_time" 的解释如下:

表示只要是 ISO datetime parser 可以正常解析的都是 strict_date_optional_time。

URL:https://www.joda.org/joda-time/apidocs/org/joda/time/format/ISODateTimeFormat.html#dateOptionalTimeParser--

解释:

dateOptionalTimeParser

public static DateTimeFormatter dateOptionalTimeParser()

Returns a generic ISO datetime parser where the date is mandatory and the time is optional.

The returned formatter can only be used for parsing, printing is unsupported.

This parser can parse zoned datetimes. The parser is strict by default, thus time string 24:00 cannot be parsed.

It accepts formats described by the following syntax:

date-opt-time = date-element ['T' [time-element] [offset]] date-element = std-date-element | ord-date-element | week-date-element std-date-element = yyyy ['-' MM ['-' dd]] ord-date-element = yyyy ['-' DDD] week-date-element = xxxx '-W' ww ['-' e] time-element = HH [minute-element] | [fraction] minute-element = ':' mm [second-element] | [fraction] second-element = ':' ss [fraction] fraction = ('.' | ',') digit+

offset = 'Z' | (('+' | '-') HH [':' mm [':' ss [('.' | ',') SSS]]]) 这里解释一下,日期部分必须指定,其格式可以是:

      • std-date-element
      • ord-date-element
      • week-date-element

而时间部分,如果按照这种格式,必须以字母T来开始:['T' [time-element] [offset]]

而这个时候,如果给ES的Date字段出入如下的值:

"2019-01-01 12:00:01"

的时候,就会报错,这个原因就是,按照确认格式,以上字符串是不能被识别为日期类型

而如下的写法,应该都是合法的写法:

PUT my_index { "mappings": { "properties": { "date": { "type": "date" } } } } PUT my_index/_doc/1 { "date": "2015-01-01" } PUT my_index/_doc/2 { "date": "2015-01-01T12:10:30Z" } PUT my_index/_doc/3 { "date": 1420070400001 } GET my_index/_search { "sort": { "date": "asc"} }

 

那么如何让一个日期型字段支持多种格式呢,答案是:给这个字段指定所有可能的格式(format)

譬如,如下定义:

...

"update_date": {

"type": "date",

"format": "yyyy-MM-dd HH:mm:ss||yyyy-MM-dd||strict_date_optional_time||epoch_millis"

},

....

这样定义后,这个update_date字段就可以接受"2019-01-01 12:00:01"这样的字符串作为输入或者查询条件了。

 

而如果对于通过logstash导入ES的日期格式数据,如果输入的日期字符串和上述定义的格式不相匹配是,也可以通过ruby插件尽心编辑,并修改成ES可以接受的格式。示例如下:

 

congfig文件如下:

input {

stdin { }

jdbc {

type => "country_info"

jdbc_connection_string => "jdbc:mysql://127.0.0.1:3306/world"

jdbc_user => "root"

jdbc_password => "root1234"

jdbc_driver_library => "D:/logstash-7.0.1/lib/mysql/mysql-connector-java-5.1.39-bin.jar"

jdbc_driver_class => "com.mysql.jdbc.Driver"

jdbc_default_timezone => "UTC"

jdbc_paging_enabled => "true"

jdbc_page_size => "50000"

statement => "SELECT CODE AS country_code,

NAME,

continent,

region,

SurfaceArea AS surface_area,

indepYear,

population,

LifeExpectancy AS life_expetancy,

gnp,

gnpold,

localname,

governmentform,

headofstate,capital,code2

FROM country"

}

}

filter {

ruby{

path => "D:\logstash-7.0.1\config\handle_country_info.rb"

}

}

output {

stdout { }

elasticsearch {

action => "index"

hosts => "127.0.0.1:9200"

index => "country_info"

document_id => "%{country_code}"

}

}

ruby文件如下:

# the filter method receives an event and must return a list of events.

# Dropping an event means not including it in the return array,

# while creating new ones only requires you to add a new instance of

# LogStash::Event to the returned array

def filter(event)

timestamp = event.get("@timestamp")

update_date = timestamp.time.localtime + 8*60*60

event.set('update_date',update_date.strftime('%Y-%m-%d %H:%M:%S'))

event.remove('@timestamp')

event.remove('@version')

return [event]

end

如上所示,通过ruby程序,可以对日期型字段的值以及格式做灵活调整,这里就是设置成年月日时分秒的格式,加工成了ES可以接受的形式之一。

对于ruby可以做哪些时间类型的运算和处理,请参照ruby的语言说明。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

jeffreywang
关注
logstash date 指令
zhaoyangjian724的专栏
12-02 372
文件: 来自文件的流处理, 通常类似于 tail -F ,但也可以从一开始读取他们 默认,假设每个事件都是一行,如果你需要将多个日志行合并到一个事件 你需要使用多行codec 或者 filter 这个插件目标是跟踪文件改变,发出新的内容 作为它的附加 到每个文件 跟踪当前监视文件的位置, 插件跟踪当前文件的位置通过记录到一个单独的文件叫做sincedb 这个可以让logstash 停止和重启, 在没有漏掉的情况下继续 [elk@node2 ~]$ cat .sincedb_cf79ed1..
Logstash filter 插件之 date
weixin_30337251的博客
06-24 1336
使用 date 插件解析字段中的日期,然后使用该日期或间戳作为事件的 logstash 间戳。对于排序事件和导入旧数据,日期过滤器尤其重要。如果您在事件中没有得到正确的日期,那么稍后搜索它们可能会出现问题。 如果间戳尚未在事件中设置,logstash 将根据第一次看到事件(在输入)创建一个间戳。例如,对于文件输入,间戳设置为每次读取的间。 本文演示如何把现有的日志数据导入到 el...
logstash mysql日期_logstashdate间处理方式总结
weixin_42502419的博客
02-26 666
1、直接在配置文件中自定义的间格式这是tomcat配置文件中的一段日志间配置,按照这样的配置,那么输出的日志是这样子的:"timestamp" : "2019-12-11 10:11:12 +0800"然后你继续在logstash中这样子配置date {match=> [ "timestamp", "yyyy-MM-dd HH:mm:ss Z"]target=> "@timasta...
logstash fliter插件的date
sdlyjzh的专栏
08-20 981
logstash fliter插件的datedate过滤器用于从字段中解析日期,然后用这个日期作为logstash中事件的间戳(timestamp)。例如,syslog经常有这种间戳:Apr 17 09:32:01你应该用dd HH:mm:ss这种格式解析它。date过滤器对于事件的排列以及回填旧数据都很重要。如果在你的事件中,没有得到正确的日期,那么之后搜索的结果会乱序。没有这个过滤器的情况下
[logstash]往es里面导数据候的日期格式问题和mysql同步的关键步骤
ToBeAMensch
02-13 1682
随手一笔,遇到一个奇葩数据库,日期格式丰富多变,以下记录一种简单的解决方式,格式上可以作为日后的启发。 #注意两个date filter plugin即可 filter { date { match => ["pzrq","yyyy-MM-dd","yyyy/MM/dd","yyyy.MM.dd","yyyy-M-d","yyyy/M/d","yyyy.M.d"] target => "pzrq" } date { match => ["
LogStash 导入 oracle(mysql)数据
weixin_39034379的博客
08-26 1684
LogStash 导入 oracle(mysql)数据 版本: ES 7.13.3 LogStash 7.13.4 1. 背景 因为一些原因需要将oracle的数据导入到Es中,A、B两个表的数据构成商品信息,组成products索引。 分词器采用ik_max_word 对name相关的字段采用搜索自动补全功能。 2. 数据导入 首先默认我们已经按转好了 ES和Logstash环境。 下载 oracle驱动 2.1 编写sql文件 #ROWNUM 是oracle自带的 可以查出当前数据是第多少条数据,用于
logstash5.6.1向es导入oracle数据库数据
09-29
8. **错误处理与重试策略**:配置适当的错误处理机制,当数据库连接断开或其他问题发生Logstash应有策略来重试失败的任务。 通过以上步骤,你可以成功地利用Logstash 5.6.1将Oracle数据库中的数据导入到Elastic...
Logstash导入csv文件到ElasticSearch
xdshust的博客
06-24 1081
需求 计划写一系列ElasticSearch如何快速搭建小型搜索系统的文章,需要一些实际数据来展示ElasticSearch的搜索原理,选择使用kaggle公开数据集Movies Dataset,由于是用来展示ElasticSearch的搜索原理,只保留id,name两列,使用Logstash将数据导入ElasticSearchLogstash原理 Logstash是一个开源的数据收集引擎,是ELK技术栈中的L。可以完成数据的ETL,方便的将数据导入ElasticSearch等。 Logstash数据处
ES用logstash批量导入csv数据
chase的博客
04-28 2694
logstash和es的版本要一致,这里使用6.2.4 一、在logstash的bin目录下创建conf文件夹再创建csv.conf文件: input { file { path => ["C:\Users\Desktop\test.csv"] start_position => "beginning" } } filter { csv { separator => "," columns => ["name","age"] }
ES用logstash导入数据库,用其他字段做_id主键
bobier_zhao的博客
11-12 2608
ES版本: 6.2.1 logstash版本 6.2.1 目的:一次偶然在把mysql数据同步到ES,同步在不经意间在mysql修改了几数据信息,导致在同步的过程中,在ES中加入大量重复数据,但是因为主键是自动生成,所以存在主键不同,但是数据相同的数据,在项目展示测试中有很多相同数据。 解决方法之一就是把sql主键也应用到ES,即使重复添加,也只是报错,而不是加入大量重复数据。 方式:配置了sql.config,开启了模板: ------------------------------------
logstash的filter日期插件
12-15
logstash的filter日期插件,解压,在logstash的Gemfile中添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path => "/home/ec2-user/logstash-output-webhdfs" 执行 bin/logstash-plugin install --no-verify
logstash date插件介绍
weixin_30512785的博客
09-13 443
间处理(Date) 之前章节已经提过, filters/date 插件可以用来转换你的日志记录中的间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里 output { if [type] == "zj_frontend_access"{ elasticsearch { ...
Logstash8.1的Date插件使用
最新发布
qq_28421487的博客
11-01 1263
Logstash 8.x 的date插件使用,本文由我实际测试得出,请尊重我的劳动成果
logstash-jdbc的一次坑-sql数据库索引数据到elasticsearch间字段格式化
陈洪杰的博客
03-27 4790
      这次业务是需要从sqlserver中通过logstash-jdbc把数据索引到ES中,记录一下遇到的一个坑,百度谷歌都找不到答案。首先设置数据库的间字段,因为项目字段太多这里用一个字段就行字段的类型为datatime类型然后是logstash的一开始的配置input {     jdbc {         jdbc_driver_library => "/opt/elk/lo...
logstash使用之日期处理
热门推荐
落叶下的光
11-24 1万+
概述日期插件Date filter plugin用于对logstash接收到的字段中的日期进行处理,可以使用处理后的日期作为logstash的timestamp.日期进行处理后,可以在kibana中用于统计和分析.参考logstash帮助文档简单使用input{ stdin{ } } filter{ date{ match => ["messa
Logstash系列-- 间格式转换date插件
soso的博客
01-04 5487
前言 今天遇到一个问题,场景是,logstash通过grok自定义正则的形式取到间字段,保存进es的候输出的映射text,但想要的是date类型。 正文 匹配到的间字段是这样的:2020-12-31_13-49-22, 不是正常形式的间。解决办法也很简单的: 对于间来说,有个date插件是可以转换各种间格式的,它默认是把结果覆盖到@timestamp上的,这里我们把它输出回字段本身,如下: grok { match => {"message" => "(?<time&g
logstashdate插件处理多个日期字段
QYHuiiQ
11-10 2248
logstashdate插件中使用match处理数据中的日期字段,如果是一条记录中有多个日期字段需要进行处理,那么写法应该是在同一个date插件中并列写多个match还是有别的处理方法呢,试了一下并列写match会提示错误,后来看到一篇帖子给出了正确的写法,这里记录一下: date { match => ["createTime", "yyyy-MM-dd"] ...
Logstash:Data 转换,分析,提取,丰富及核心操作
Elastic 中国社区官方博客
09-15 9821
在今天的这篇文章中,着重介绍Logstash在数据转换,分析,提取及核心操作方便的内容。首先,希望大家已经按照我之前的文章 “如何安装Elastic栈中的Logstash”把Logstash安装好。 Logstash数据源 我们知道Logstash可以在很多的应用场景中使用。它有各种各样的数据源,比如: 这些数据丰富多彩。为了能够让这些数据最终能进入到Elastic...
Logstash JSON模板配置指南
在使用Elasticsearch作为Logstash输出目标,template起到非常重要的作用。Template定义了索引的映射(mapping)和设置(settings),这对于Elasticsearch索引的管理和数据的正确格式化至关重要。通过template,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值