我有一个elasticsearch和kibana设置,我将文档发送到elasticsearch并返回创建的201,当我直接查询文档的ID( curl 到elasticsearch API时)时,我得到的结果是:
# curl elasticsearch.metrics:9200/falco/_doc/1559716938212262231-1
{"_index":"falco","_type":"_doc","_id":"1559716938212262231-1","_version":1,"_seq_no":1096,"_primary_term":1,"found":true,"_source":{ "priority": "Info", "output": "test", "rule": "test", "output_fields": { "test": "test", "evt.time": "1559716938212262231" }}}
但是,此文档(以及许多其他文档)未出现在kibana中。
这并不是说在kibana中什么也没有出现,我确实在那里看到了一些文档,甚至出现了比我的测试新的文档。
为什么会这样呢?
最佳答案
例如,为了在“诊断”选项卡中显示文档,kibana会缩小时间选择器(右上角)中所选时间范围内的所有文档。您还选择了一个索引模式,该索引模式定义了一个时间字段(在大多数情况下为@timestamp)。
因此,Kibana会在当前选定索引模式的已配置时间字段中搜索具有选定时间范围内的值的文档。
如果@timestamp字段中的数据不足,则可以使用所有文档中存在的其他日期字段轻松创建其他索引模式。如果没有,请考虑使用这样的文档来丰富您的文档。
关于elasticsearch - Kibana没有显示来自Elasticsearch的某些文档-即使它们存在,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56459354/