我正在将syslog数据发送到logstash,logstash将应用一些过滤并将数据发送到elasticsearch。即使我可以在elasticsearch中看到数据,也不会在kibana中显示它。
创建索引时,如果我设置了Time Filter(@timestamp),则数据不可见。不使用Time Filter时,数据显示完美。索引的映射如下所示:
{
"mapping": {
"doc": {
"properties": {
"@timestamp": {
"type": "date"
},
"facility": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"facility_full": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"facility_mnemonic": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"host": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"log_date": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"log_sequence": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"message": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"severity_level": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"tags": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"type": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
}
}
}
}
}
因此@timestamp的类型为date-与我所有其他索引相同。我在做什么错了?
Elasticstack v6.4.0
答案 0 :(得分:0)
我无法发表评论,因此请在此处写下答案。
请在您的kibana上使用时间过滤器检查更大的时间范围(例如今天或本月)。
我看到timestamp字段的时区有问题(我在映射中看不到)。另外,kibana默认情况下在UTC时区工作。因此,它将根据UTC显示数据(在您的时间戳字段上)。
请查看this链接以获取更多帮助。
答案 1 :(得分:0)
您是否在Kibana中设置了索引模式,将该字段定义为日期戳?没有索引模式,仪表板上的时间选择器将无法执行任何操作。参见https://www.elastic.co/guide/en/kibana/current/tutorial-define-index.html