Диапазон @Timestamp не дает результатов в Watcher Kibana

Question

Я использую ниже watcher json.

{
  "trigger": {
    "schedule": {
      "interval": "2m"
    }
  },
  "input": {
    "search": {
      "request": {
        "search_type": "query_then_fetch",
        "indices": [
          "<log-abc.upr-dev-{now/d}>"        
        ],
        "types": [],
        "body": {
          "size": 20,
          "query": {
            "bool": {
              "must": [
                {
                  "match": {
                    "trailer_message": "SUCCESS"
                  }
                },
                {
                  "range": {
                    "@timestamp": {
                      "gte": "now-50m"
                    }
                  }
                }
              ]
            }
          }
        }
      }
    }
  },
  "condition": {
    "compare": {
      "ctx.payload.hits.total": {
        "gt": 0
      }
    }
  },
  "actions": {
    "notify-pagerduty": {
      "webhook": {
        "scheme": "https",
        "host": "********",
        "port": 443,
        "method": "post",
        "path": "******",
        "params": {},
        "headers": {
          "Content-Type": "application/json"
        },
        "body": "{\r\n  \"payload\": {\r\n    \"summary\": \"{{ctx.payload.hits.total}} success \",\r\n    \"source\": \"TEST TEST\",\r\n    \"severity\": \"error\"\r\n  },\r\n  \"routing_key\": \"*******************\",\r\n  \"event\": \"function\",\r\n  \"client\": \"Watcher\"\r\n}"
      }
    }
  }
}

Мои журналы имеют значения успеха, но после использования Range я не получаю никаких результатов. Если я уберу диапазон, он выдаст результаты из журналов этого дня. Я тоже хочу использовать диапазон, но он не работает. Пожалуйста, дайте мне знать, в чем проблема.

Answer 1

Мне удалось решить эту проблему. @timestamp не был полем, используемым в моих журналах. было другое время сеанса индекса. Как только я указал моему наблюдателю использовать сессионное время, оно начало работать.