Кибана не показывает некоторые документы из эластичного поиска - даже если они существуют

Question

У меня есть настройкаasticsearch и kibana, я отправляю документы вasticsearch и получаю обратно 201 созданный, когда я запрашиваю идентификатор документа напрямую (скручивание в API эластичного поиска), я получаю результат:

# curl elasticsearch.metrics:9200/falco/_doc/1559716938212262231-1
{"_index":"falco","_type":"_doc","_id":"1559716938212262231-1","_version":1,"_seq_no":1096,"_primary_term":1,"found":true,"_source":{ "priority": "Info", "output": "test", "rule": "test", "output_fields": { "test": "test", "evt.time": "1559716938212262231" }}}

Однако этот документ (и многие другие) не отображается в кибане.

Это не означает, что в кибане ничего не появляется, я вижу некоторые документы там, даже документы новеечем мой тест.

Почему это может быть?

Answer 1

Для отображения документов, например, на вкладке "Поиск", kibana сужает все документы в выбранном временном диапазоне в палитре времени (верхний правый угол).У вас также есть выбранный шаблон индекса, для которого определено поле времени (в большинстве случаев @timestamp).

Таким образом, Kibana ищет документы со значением в пределах выбранного диапазона времени в настроенном поле времени длятекущий выбранный шаблон индекса.

Если в поле @timestamp отсутствуют данные, вы можете легко создать другой шаблон индекса, используя другое поле даты, присутствующее во всех ваших документах.Если их нет, conisider обогатит ваши документы таким.