最近使用filebeat进行日志采集,并通过logstash对日志进行格式化处理。

filebeat采集数据后,会给日志增加字段@timestamp,@timestamp是UTC时间,查看日志很不方便。

从网上找到了解决办法【http://blog.51cto.com/11067470/1729872】。

在logstash的filter中增加如下代码,就可以把时间转换成北京所在时区时间。

ruby {
code => "event.timestamp.time.localtime"
}
05-23 05:51