记录一个奇葩的问题,今天在调ELK+filebeat,将Laravel日志解析之后,写入elasticsearch发现,数据没了。
猜想一:解析之后的数据某个字段有问题。
排除方法:仔细检测解析代码,将解析一行行屏蔽测试,发现是重写timestamp字段导致。
猜想二:timestamp格式不对应。
排除方法:对比确认没有发现格式问题,不过、突然发现重写后的timestamp时区不对应。
猜想三:elasticsearch拒绝了日期之后的数据
排除方法:查看e和l的日志没有发现异常。rubydebug有数据,入库elasticsearch没输出。
排查filebeat logstash elasticsearch的时间发现都是正确的。
最终问题:kibana的时区不对,一直在查看[Last 15 minutes],数据查询不到这个区间,实际上入库elasticsearch是没问题的,就是在last 15里面没有输出。好尴尬…
总结:以后docker container一定要都统一时区~
