在采用ELK記錄系統日志時,日志存入elasticsearch時,一般是以本地時區存入(如北京東8區)
在elasticsearch中直接查詢時也沒有任何問題,但是kibana在做日志展示時,對日志時間類型會進行一次格式化,如下說明:
dateFormat:tz (Default: Browser)
Which timezone should be used. "Browser" will use the timezone detected by your browser.
默認將通過瀏覽器獲取當前系統時區,並在日志時間上加上這個時區,比如東8區,將在時間上加8小時再展示。
而elasticsearch中的日志時間已經經過了時區處理,因此這里的默認處理方式,對以UTC時間記錄的日志是正確的,而以本地時區時間記錄的日志處理是錯誤的。
針對這個問題,可以在kibana的setting->advance中,將dateFormat:tz設置改為UTC時區即可。