我有一个elasticsearch和kibana设置,我将文档发送到elasticsearch并返回创建的201,当我直接查询文档的ID(卷曲到elasticsearch API时)时,我得到的结果是:
# curl elasticsearch.metrics:9200/falco/_doc/1559716938212262231-1
{"_index":"falco","_type":"_doc","_id":"1559716938212262231-1","_version":1,"_seq_no":1096,"_primary_term":1,"found":true,"_source":{ "priority": "Info", "output": "test", "rule": "test", "output_fields": { "test": "test", "evt.time": "1559716938212262231" }}}
但是,此文档(以及许多其他文档)未出现在kibana中。
这并不是说kibana中什么也没有,我确实在那里看到了一些文档,甚至出现了比我的测试新的文档。
为什么会这样?
答案 0 :(得分:1)
例如,为了在“诊断”选项卡中显示文档,kibana会缩小时间选择器(右上角)中所选时间范围内的所有文档。您还选择了一个索引模式,该索引模式定义了一个时间字段(在大多数情况下为@timestamp)。
因此Kibana会在配置的时间字段中为当前选定的索引模式搜索具有选定时间范围内的值的文档。
如果@timestamp字段中的数据不足,则可以使用所有文档中存在的不同日期字段轻松地创建不同的索引模式。如果没有,请考虑使用这样的文档来丰富您的文档。