Question

Я отправляю данные системного журнала в logstash, который применяет некоторую фильтрацию и отправляет данные вasticsearch. Несмотря на то, что я вижу данные вasticsearch, они не отображаются в кибане.

При создании индекса, если я установил Time Filter (@timestamp), данные не будут видны. При использовании Time Filter данные отображаются безупречно. Отображения для индекса выглядят так:

{
  "mapping": {
    "doc": {
      "properties": {
        "@timestamp": {
          "type": "date"
        },
        "facility": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "facility_full": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "facility_mnemonic": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "host": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "log_date": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "log_sequence": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "message": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "severity_level": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "tags": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        },
        "type": {
          "type": "text",
          "fields": {
            "keyword": {
              "type": "keyword",
              "ignore_above": 256
            }
          }
        }
      }
    }
  }
}

Так что @timestamp относится к типу date - так же, как и все мои другие индексы. Что я делаю не так?

Elasticstack v6.4.0

Raya Fratkina · Answer 1 · 11 сентября 2018

Есть ли в Кибане шаблон индекса, определяющий это поле как отметку даты? Без шаблона индекса селектор времени на приборной панели ничего не сделает. Смотри https://www.elastic.co/guide/en/kibana/current/tutorial-define-index.html

Ajay Sharma · Answer 2 · 09 сентября 2018

Я не могу оставить комментарий, поэтому пишу это здесь как ответ.

Пожалуйста, проверьте с временным фильтром больший диапазон времени в вашей кибане (например, сегодня или в этом месяце).
Я вижу проблему с часовым поясом поля timestamp (я не мог видеть это в отображении). Также кибана по умолчанию работает в часовом поясе UTC. Таким образом, он будет отображать данные в соответствии с UTC (в вашем поле отметки времени).

Пожалуйста, проверьте эту ссылку для получения дополнительной помощи.

Данные временной метки не отображаются в кибане

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Данные временной метки не отображаются в кибане

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы