使用版本:elk6.0

配置文件:logstash.confg

output {
  elasticsearch {
    id => "logstash-%{+YYYY.MM.dd}"
  }
}

问题:如图14号的数据，结果采集到了15号，慢了8小时，希望得到的结果，是凌晨0点索引自动切换

原因: 原来Logstash用的UTC时间, logstash在按每天输出到elasticsearch时，因为时区使用utc，造成每天8:00才创建当天索引，而8:00以前数据则输出到昨天的索引查看一些论坛,不建议更改源码，因为logstash和elasticsearch是按照UTC时间的，kibana却是按照正常你所在的时区显示的

解决:修改logstash配置

logstash在按每天输出到elasticsearch时，因为时区使用utc，造成每天8:00才创建当天索引，而8:00以前数据则输出到昨天的索引
在logstash filter 解决
　　1. 增加一个字段，计算timestamap+8小时

ruby {
     # 新增索引日期,解决地区时差问题
     code => "event.set('index_date', event.get('@timestamp').time.localtime + 8*60*60)"
}

2. 用mutate插件先转换为string类型,gsub只处理string类型的数据，在用正则匹配，最终得到想要的日期

定义索引名时间

 mutate {
           convert => ["index_date", "string"]
           gsub => ["index_date", "T([\S\s]*?)Z", ""]
           gsub => ["index_date", "-", "."]
}

3.output配置

 elasticsearch {
        hosts => ["localhost:9200"]
        index => "log1-%{index_date}"
      }

• 这里是取系统时间，你可以取你日志里面的时间戳来做索引名