ELK搭建之filebeat时间问题
众所周知,在kibana页面上查看filebeat的日志信息会比北京时间早8小时,例如现在是北京时间2019年8月8日11:37分,但是在kibana上filebeat的时间是2019年8月8日19:37分。因为差八个小时,日志看起来很不方便,网上查了很多的教程都不行,以下方法亲自试验有效果
| cn-zstack-db-back | rsyslog日志服务器 | 安装了filebeat | filebeat modules enable system |
|---|---|---|---|
| docker-100-108 | 普通服务器 | 安装了filebeat | filebeat modules enable system |
查看cn-zstack-db-back上面的filebeat信息(通过rsyslog收集的日志):
cn-zstack-db-back | rsyslog日志服务器 收集的日志信息都在/var/log/syslogdevice/路径下
cn-zstack-db-back filebeat中的system模块中的配置信息:
var.paths: ["/var/log/syslogdevice/cn-zstack-db-back/*.log"]
通过suricata.eve.timestamp和timestamp信息得知,时间和北京时间一致
总结,收集cn-zstack-db-back的日志其实是通过rsyslog中转了一下,所以时间正确了
下来看一个没有经过中转的docker-100-108上的日志信息