Несоответствие времени в кибане

Question

У нас есть ELK с Kibana версии 5.6.10. Мы сталкиваемся с несоответствием времени при отображении журналов с разных серверов.

Мы загружаем журнал с 8 IIS-сервера и анализируем его через Logstash в Elastic search Kibana. При фильтрации журналов за прошедший час мы могли заметить, что отображались только 2 журнала сервера. Мы проверили конфигурацию filebeat на каждом сервере IIS и нашли ту же настройку конфигурации; также проверен формат времени журнала IIS и другие конфигурации. Мы могли видеть, что индексирование происходит правильно в Elastic Search, но при фильтрации опции отображения в течение часа выводятся только результаты для 2 серверов. Если мы фильтруем в течение четырех часов, мы можем видеть несколько серверов с разным значением времени на дисплее.

Хотелось бы знать любого, кто сталкивается с подобной проблемой и приветствует решение для нее.

Answer 1

Вопрос о часовом поясе. Сервер, журналы которого не отображаются, скорее всего, находится в другом часовом поясе, чем часовой пояс Кибаны. Это проблема Кибаны, она не работает в глобальном масштабе. Вот проблема, сообщенная на GIT. Вы можете следить за этим.

https://discuss.elastic.co/t/kibana-timestamp-in-browser-local-time-but-incoming-logs-utc/57501

https://github.com/elastic/kibana/issues/1600

Answer 2

У меня была такая же проблема. Проблема с часовым поясом. Кибана работает по UTC по умолчанию. Пожалуйста, проверьте, совпадает ли часовой пояс в ваших документах ES с Kibana. Вы можете сделать это (kibana) Вкладка «Управление» -> «Дополнительные параметры» -> dateFormat: tz

Если часовой пояс отличается, пожалуйста, используйте «Сегодня» в окне времени кибана, чтобы проверить ваши последние документы. Кроме того, вы можете также индексировать поле вашей временной метки с помощью часового пояса UTC (или желаемого часового пояса) в ES. Затем настройте кибану с тем же часовым поясом, что и ES, для проверки ваших документов.