terms query exact elasticsearch kibana kibana-4

elasticsearch - query - Marca de tiempo que no aparece en Kibana



elasticsearch terms (5)

En las versiones más recientes, debe especificar el campo de fecha antes de enviar sus datos.

Su campo de fecha debe estar en un formato estándar, como milisegundos después de Epoch (número largo) o, tal como lo sugirió MrE, en ISO8601. Ver más información aquí: https://www.elastic.co/guide/en/elasticsearch/reference/current/date.html

De nuevo, antes de enviar sus datos al índice, debe especificar la asignación para este campo. En Python:

import requests mapping = ''{"mappings": {"your_index": {"properties": {"your_timestamp_field": { "type": "date" }}}}}'' requests.put(''http://yourserver/your_index'', data=mapping) ... send_data()

Soy bastante nuevo en Kibana y simplemente configuré una instancia para mirar algunos datos de ElasticSearch.

Tengo un índice en Elastic Search, que tiene algunos campos, entre ellos _timestamp. Cuando voy a la pestaña ''Descubrir'' y miro mis documentos, cada uno tiene el campo _timestamp pero con una advertencia amarilla al lado del campo que dice "No hay caché de mapeo para este campo". Como resultado, parece que no puedo ordenar / filtrar por tiempo.

Cuando intento crear un nuevo patrón de índice y hago clic en "El índice contiene eventos basados ​​en el tiempo", el menú desplegable "Nombre del campo de tiempo" no contiene nada.

¿Hay algo más que deba hacer para que Kibana reconozca el campo _timestamp?

Estoy usando Kibana 4.0.

La respuesta aceptada es obsoleta a partir de Kibana 2.0

debe usar un campo de date simple en sus datos y configurarlo explícitamente utilizando una marca de tiempo o una cadena de fecha en formato ISO 8601. https://en.wikipedia.org/wiki/ISO_8601

también necesita establecer una asignación hasta la fecha ANTES de comenzar a enviar datos aparentemente.

curl -XPUT ''http://localhost:9200/myindex'' -d ''{ "mappings": { "my_type": { "properties": { "date": { "type": "date" } } } } }''

Mi versión es 2.2.0

Tienes al esquema correcto. Sigo la guide ejemplo:

{ "memory": INT, "geo.coordinates": "geo_point" "@timestamp": "date" }

Si tiene @timestamp, verá el

ps: si su esquema no tiene el campo "fecha", no marque "El índice contiene eventos basados ​​en el tiempo"

Primero deberá seguir estos pasos rápidos:

  1. Vaya a Configuración → Avanzado .
  2. Edite los metaFields y agregue "_timestamp". Hit save.
  3. Ahora regrese a Configuración → Índices y _tiempo estará disponible en la lista desplegable para "Nombre del campo de tiempo".

Vaya a Configuración-> Índices, seleccione su índice y haga clic en el icono amarillo de "actualizar". Eso eliminará la advertencia y quizás deje el campo disponible en su visualización.