我们有一个用于存储日志文件的elasticsearch kibana设置。日志文件使用Flume elasticsearch sink编写。
如果我搜索@fields.environment:"sm-local-mlamley",那么我会找到我期望的日志事件。
这些日志事件的@message字段为2013-03-04 10:05:41.7262|INFO|FlumePOC.Program|SM 101123123 log message fudgesicle
但是,如果我搜索"fudgesicle",那么我找不到它们。事实上,即使我搜索整个@message字段,我也找不到该条目。
我如何确定为什么elasticsearch似乎没有索引数据。
答案 0 :(得分:2)
您可以直接查询Elasticsearch,如下所示:
http://elasticsearch-host:port/index-name/index-type/_search?q=search-term
您可以使用通配符作为名称和类型,包括空字符串。如果你将&pretty添加到最后,它会稍微格式化JSON响应。所以你可以试试:
http://elasticsearch-host:9200///_search?q=fudgesicle&pretty
这将显示日志事件是否已完全进入ES。如果它在那里你可能会得到一个更好的指示,说明Kibana无法找到它。