type info indice index eliminar delete data create crear elasticsearch kibana

elasticsearch - info - Cómo configurar el patrón de índice en Kibana



eliminar indice elasticsearch (1)

He conectado Kibana a mi instancia ES.

devoluciones cat / indices:

yellow open .kibana 1 1 1 0 3.1kb 3.1kb yellow open tests 5 1 413042 0 3.4gb 3.4gb

Sin embargo, obtengo lo siguiente en la pantalla de configuración de Kibana. ¿Qué me estoy perdiendo?

Actualizar:

Mi documento de muestra tiene este aspecto

"_index": "tests", "_type": "test7", "_id": "AVGlIKIM1CQ8BZRgLZVg", "_score": 1.7840601, "_source": { "severity": "ERROR", "code": "CODE, "message": "MESSAGE", "environment": "TEST", "error_uuid": "cbe99080-0bf3-495c-a417-77384ba0fd39", "correlation_id": "cf5a1fd5-4fd2-40bb-9cdf-405b91dcbd6f", "timestamp": "2015-11-20 15:24:39.831"

Deshabilite la opción Use event times to create index names y colocar el nombre de índice en lugar del patrón ( tests ).

La opción que está tratando de usar se usa cuando tiene nombres de índice basados ​​en la marca de tiempo (imagine que crea un índice nuevo por día con tests-2015.12.01 , tests-2015.12.02 ...). Es bastante claro si lees el mensaje cuando habilitas esa opción:

Los patrones le permiten definir nombres de índices dinámicos. El texto estático en un nombre de índice se denota con paréntesis. Ejemplo: [logstash-] YYYY.MM.DD. Tenga en cuenta que las semanas están configuradas para usar semanas ISO que comienzan el lunes

EDITAR: El problema con un menú desplegable vacío en el nombre del campo de tiempo se debe a que no tiene ningún campo con el tipo de fecha en la asignación de su índice. Realmente puede verificar si hace GET /<index-name>/_mapping?pretty , que la timestamp es un tipo de "cadena" y no "fecha". Esto sucede porque el formato no coincide con la expresión regular para la detección de la fecha ( yyyy/MM/dd HH:mm:ss Z||yyyy/MM/dd Z ). Para resolver esto:

  • Puede cambiar el formato de la marca de tiempo que está insertando para que coincida con la expresión regular predeterminada.
  • Puede modificar la propiedad dynamic_date_format y colocar una expresión regular que coincida con el formato actual de su marca de tiempo.
  • Puede establecer una plantilla de índice y establecer el tipo "fecha" para el campo "marca de tiempo".

En cualquiera de los casos, deberá eliminar el índice y crear uno nuevo o reindexar los datos.