Sun~shell

@timestamp 跟你是不是相差了8个小时?

@weihc02 这个是由于你的elasticsearch 处理时间使用的是UTC时间,你需要加一个fileter 或者在日志输入上修改你的timestamp时间为北京时间 也就是在UTC的时间上+8小时

@weihc02 没有使用logstash么?直接是filebeat 到es？

@weihc02 logstash的是加一个fileter data插件: date { match =>["timestamp","dd/MMM/yyyy:HH:mm:ss +0800"] target =>"@timestamp" locale=>"en" timezone =>"UTC" } filebeat的目前 还不知道一会我去看看去 你可以参考参考官方的资料

@weihc02 你好,这个问题问题已经修复了,主要是本地包含了特殊字符导致的.如果还有其他问题请留言

@weihc02 恩恩谢谢你的提议,下周我就发布到docker hub上. 运行 curl -XGET 'http://elasticsearch地址:9200/elastalert_status/_mapping/' 有没有类似的输出  里面应该有@timestamp这个字段的

@weihc02 你的"@timestamp 在elastalert_status索引中存在么？ elastalert-create-index` 运行了么?

@weihc02 现在正常了么?

@weihc02 这个要用你微信企业通讯录中的账号ID,我刚更新了代码图片你可以看看去

@weihc02 记得加个星星呦! 镜像下周一上