看起来你遇到了一个挺头疼的问题——每次Pod滚动更新后，新产生的日志都会被Fluent Bit打上同一个固定的旧时间戳，只有手动重启Fluent Bit DaemonSet才能暂时恢复，但下次Pod更新又会复发对吧？结合你给出的配置和日志信息，我来帮你分析下可能的原因和解决办法。

问题现象复盘 #

• Pod滚动更新后，新Pod的日志内容里的实际时间是正常推进的，但Fluent Bit上报到OpenSearch的@timestamp却固定为某个过去的时间点
• 重启Fluent Bit DaemonSet后，时间戳恢复正常，但再次更新Pod后问题重现
• Fluent Bit日志里能看到新Pod日志文件的inotify_fs_add记录，没有明显的错误日志（除了偶尔的ES 429限流，这个应该和时间戳问题无关）

可能的核心原因 #

从你的配置来看，最大的问题在于Fluent Bit没有正确从日志内容中提取时间戳，而是默认使用了日志文件的修改时间，而Pod更新后，日志文件的修改时间可能因为某些复用/缓存逻辑被固定，或者Multiline解析器的规则错误导致时间戳没有被正确更新。

具体来说：

1. Tail Input未配置时间戳提取规则：你当前的Tail Input只设置了多行解析，但没有告诉Fluent Bit从日志内容里提取时间戳，默认会用日志文件的mtime作为@timestamp。当Pod重启后，新日志文件的mtime可能被误判为旧时间，或者Fluent Bit没有正确跟踪新文件的时间变化。
2. 自定义Multiline Parser规则错误：你的多行解析器只匹配了stderr F(.*)作为起始行，完全没有处理日志里的时间戳。这会导致Multiline把所有相关行都归为同一个批次，复用第一行的时间戳，而如果第一行是旧日志的时间，后续所有新行都会继承这个时间戳。
3. Kubernetes Filter的日志解析配置不完整：虽然开启了K8S-Logging.Parser On，但没有指定具体的解析器来处理容器日志的JSON格式，导致无法正确提取内置的time字段。

具体解决方案 #

1. 配置Tail Input从日志内容提取时间戳 #

Kubernetes容器日志默认是JSON格式，每个日志行包含time字段（比如"time": "2023-10-16T09:48:55Z"），你需要让Fluent Bit解析这个JSON并提取时间戳：

[INPUT]
Name tail
Exclude_Path /var/log/containers/cloudwatch-agent*, /var/log/containers/fluent-bit*, /var/log/containers/aws-node*, /var/log/containers/kube-proxy*, /var/log/containers/aws-load-balancer*, /var/log/containers/cert-manager*, /var/log/containers/coredns*, /var/log/containers/ebs-csi*, /var/log/containers/grafana*, /var/log/containers/karpenter*, /var/log/containers/metrics-server*, /var/log/containers/prometheus*
Path /var/log/containers/*.log
Tag kube.*
Mem_Buf_Limit 50MB
multiline.parser python-custom
# 添加以下时间戳提取配置
Parser docker  # 用内置的docker解析器解析容器JSON日志
Time_Key time  # 指定从JSON的time字段提取时间
Time_Format %Y-%m-%dT%H:%M:%S.%LZ  # 匹配容器日志的时间格式
Time_Offset +0000  # 根据你的实际时区调整，比如UTC+8填+0800

2. 修复自定义Multiline Parser规则 #

你的多行解析器需要识别带有时间戳的行作为日志起始行，而不是stderr F。假设你的应用日志起始行格式是[2023-10-16 09:48:55]，修改规则如下：

[MULTILINE_PARSER]
name python-custom
type regex
flush_timeout 1000
# 匹配带时间戳的起始行
rule "start_state" "/^\[\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}\]/ " "cont"
# 匹配后续的非起始行（比如没有时间戳的多行日志内容）
rule "cont" "/^[^[]/" "cont"

如果你的应用日志起始行是2023-10-16T09:48:55...这种格式，把第一个规则改成/^\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}/即可。

3. 优化Kubernetes Filter配置 #

确保Kubernetes Filter能正确处理解析后的日志，保留时间戳信息：

[FILTER]
Name kubernetes
Match kube.*
Merge_Log On
Merge_Log_Key log_processed
Keep_Log Off
K8S-Logging.Parser On
K8S-Logging.Exclude On
# 显式指定解析器，确保容器日志被正确解析
Parser docker

4. 验证与测试 #

• 应用修改后的配置，滚动更新Fluent Bit DaemonSet：kubectl rollout restart daemonset/fluent-bit -n <你的命名空间>
• 滚动更新一个测试Pod，观察Kibana里的@timestamp是否与日志内容里的时间一致
• 检查Fluent Bit日志，看有没有parser相关的错误提示，确保解析正常

额外优化建议 #

• 升级Fluent Bit版本：你当前用的是v2.1.8，建议升级到v2.2.x或更高的稳定版本，旧版本可能存在一些时间戳处理和Multiline解析的已知bug
• 启用文件存储模式：把Tail Input的storage_strategy改成file，持久化日志读取位置，避免重启Fluent Bit后重新读取整个文件，提升稳定性：

  [INPUT]
  Name tail
  ...
  storage.type file
  storage.path /var/log/fluent-bit/tail
  

• 监控Fluent Bit指标：配置Prometheus采集Fluent Bit的指标（默认开启了2020端口的HTTP服务），重点监控fluentbit_input_records_total、fluentbit_parser_errors_total、fluentbit_output_records_total，及时发现解析或输出异常
• 调整ES输出的Retry参数：当前的Retry_Limit 6可以适当调大，避免因为短暂的ES限流导致日志积压，不过这个和时间戳问题无关，但能提升整体稳定性

备注：内容来源于stack exchange，提问作者HJ S