我正在将系统日志数据发送到logstash,它应用一些过滤并将数据发送到elasticsearch。尽管我可以在 elasticsearch 中看到数据,但它并没有显示在 kibana 中。
创建索引时,如果我设置Time Filter(@timestamp(,则数据不可见。不使用Time Filter时,数据完美显示。索引的映射如下所示:
{
"mapping": {
"doc": {
"properties": {
"@timestamp": {
"type": "date"
},
"facility": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"facility_full": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"facility_mnemonic": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"host": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"log_date": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"log_sequence": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"message": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"severity_level": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"tags": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"type": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
}
}
}
}
}
所以@timestamp是日期类型 - 与我所有其他索引相同。我做错了什么?
弹性堆栈 v6.4.0
我无法发表评论,所以在这里写这个作为答案。
请使用时间过滤器查看 kibana 上的更大时间范围(例如今天或本月(。
我看到时间戳字段的时区有问题(我在映射中看不到它(。此外,默认情况下,kibana 使用 UTC 时区。因此,它将根据 UTC(在您的时间戳字段上(显示数据。
请查看此链接以获取更多帮助。
您是否在 Kibana 中设置了索引模式,将此字段定义为日期戳?如果没有索引模式,仪表板上的时间选择器将不会执行任何操作。见 https://www.elastic.co/guide/en/kibana/current/tutorial-define-index.html