我试图让Kibana使用ElasticSearch和自定义数据源。
数据由与ES实例在同一台计算机上运行的服务导入。我绝对相信数据在ES实例中(ES-HQ显示索引中有~110,000个文件我试图搜索)
我已经进入Kibana,选择了' datetime'索引时间戳的字段(参见下面的映射),将其设置为默认值,并将*字符放入主搜索中,时间范围设置为"过去20年" (我的数据在2008年之前都不存在)
我的映射是这样的:
{
"basetype":{
"properties":{
"datetime":{
"type":"date",
"format": "epoch_millis"
},
"id":{
"type":"integer"
},
"value":{
"type":"long"
}
}
}
}
这是PUT到/ testindex / basetype / _mapping
并且示例文档是
{
"datetime":1211241600,
"id":1920017,
"value":7250
}
我的预感是它与时间戳字段的格式有关,但我不是正面的。或者,它是" id"字段(可能是ES中的保留名称?)
答案 0 :(得分:1)
你做得很好,除了一件小事。在映射中,您将日期格式指定为epoch_millis,但在文档中,日期时间在epoch_second中指定。
所以你有两个选择:
"format": "epoch_second"更改了地图,并保持数据不变。在任何情况下,您都需要在Kibana中重新加载索引模式,它将起作用。请注意,我在Kibana 4.2上进行了测试。