Кибана: Нежелательная двойная сортировка (почему мои сохраненные результаты поиска отсортированы по @timestamp?)

Question

у нас есть классная c установка ELK и создана панель для просмотра сообщений журнала. мы хотим отсортировать сообщения журнала по метке времени в файле журнала, но в данный момент они сортируются по времени вставки (или это время чтения файла?)

Столбцы:

• @ timestamp: время вставки
• Timestamp: временная метка проанализированного журнала

Я пытался изменить сортировку журнала в дашобарде, но это привело к странным эффектам. Немного покопавшись, я обнаружил: теперь данные отсортированы по 2 столбцам: @timestamp и Timestamp.

Итак, вопрос: почему они вообще сортируются по @timestamp и как этого избежать? (Или я мог бы избежать проблемы, грубо заставив filebeats поместить значение Timestamp в @timestamp. Но я действительно хотел бы понять проблему ...)

снимок экрана созданного запроса elasti c (из aved search) по kibana:

BTW: столбец Timestamp настроен в сопоставлении индекса как поле фильтра времени

Answer 1

Я обнаружил проблему: сохраненный запрос был отсортирован по «невидимой» колонке «@timestamp».

Решение:

• повторное добавление столбца «@timestamp»
• установить сортировку на «Timestamp»
• удаление сортировки по «@ отметка времени "
• удаление столбца" @timestamp "снова

Answer 2

РЕДАКТИРОВАТЬ

Кто-то должен был вручную отсортировать столбец и сохранить отчет:

---

ORIGINAL

Я думаю вы выбрали один из них при создании шаблона индекса Kibana. Это должно сработать:

И затем либо первый, либо последний вариант: