最近使用filebeat进行日志采集,并通过logstash对日志进行格式化处理。
filebeat采集数据后,会给日志增加字段@timestamp,@timestamp是UTC时间,查看日志很不方便。
从网上找到了解决办法【http://blog.51cto.com/11067470/1729872】。
在logstash的filter中增加如下代码,就可以把时间转换成北京所在时区时间。
ruby { code => "event.timestamp.time.localtime" }