我想使用_timestamp的默认值(现在为日期)索引文档,在elasticsearch索引文档时设置此字段。我想用一种格式保存_timestamp,以后我可以在Kibana中使用它。到目前为止,我已经尝试了很多东西,这是尝试获得所需结果的最简单方法:
{
"mappings": {
"_default_" : {
"_timestamp" : {"enabled" : true, "store" : "yes"}
}
}
}
是否可以为此_timestamp提供一种格式,例如" 2015-02-25"?
使用实际映射,值在epoch时间戳中:
fields: {
_timestamp: 1424895937428
}
即使我没有为_timestamp提供所需的格式,kibana也无法识别此值,因此我无法通过此值进行查询。
到目前为止,我还尝试使用像{"格式" :" YYYY-MM-dd"}或{" index" :"分析"在映射中但没有运气。
这是我甚至尝试过吗?
答案 0 :(得分:0)
您使用什么来将数据传递到elasticsearch? 我现在正在流利地使用它,并阅读了json列表 在我的配置中,我在源设置中的时间位如下:
keys date, prot, srcip, srcport, country, org, dstip, dstport
time_key date
time_format %Y-%m-%dT%H:%M:%S.%L%:z
日期是以给定格式传入的json中的第一个字段 这对我有用,并且值存储在@timestamp字段中,索引通常默认为prefix -YYYY.MM.DD。