1. casa
  2. Domanda e risposta
  3. Come configurare il modello dell'indice in Kibana

Come configurare il modello dell'indice in Kibana

2015-12-15 19 views
18

Ho collegato Kibana alla mia istanza ES.Come configurare il modello dell'indice in Kibana

cat/indici rendimenti:

yellow open .kibana 1 1  1 0 3.1kb 3.1kb 
yellow open tests 5 1 413042 0 3.4gb 3.4gb

Tuttavia ottengo il seguente nella schermata di configurazione Kibana. Cosa mi manca?

Kibana screenshot

Aggiornamento:

enter image description here

mio documento di esempio si presenta così

"_index": "tests", 
    "_type": "test7", 
    "_id": "AVGlIKIM1CQ8BZRgLZVg", 
    "_score": 1.7840601, 
    "_source": { 
     "severity": "ERROR", 
     "code": "CODE, 
     "message": "MESSAGE", 
     "environment": "TEST", 
     "error_uuid": "cbe99080-0bf3-495c-a417-77384ba0fd39", 
     "correlation_id": "cf5a1fd5-4fd2-40bb-9cdf-405b91dcbd6f", 
     "timestamp": "2015-11-20 15:24:39.831"

fonte

2015-12-15 freefall

risposta

13

disattivare l'opzione Use event times to create index names e mettere il nome di indice al posto del modello (tests).

L'opzione che si sta tentando di utilizzare viene utilizzata quando si dispone di nomi di indici basati su data/ora (immagina di creare un nuovo indice al giorno con tests-2015.12.01, tests-2015.12.02 ...). È abbastanza chiaro se si legge il messaggio quando si attiva questa opzione:

I motivi consentono di definire i nomi di indice dinamici. Il testo statico in un nome di indice è indicato utilizzando parentesi. Esempio: [logstash-] YYYY.MM.DD. Si prega di notare che le settimane sono stati impostati per utilizzare settimane ISO che iniziano il Lunedi

EDIT: Il problema con un menu a discesa vuoto nel nome time-campo è perché non si dispone di alcun tipo di campo con data nel mappatura del tuo indice. È possibile verificare se lo si fa GET /<index-name>/_mapping?pretty, che il timestamp è un tipo "stringa" e non "data". Ciò si verifica perché il formato non corrisponde allo regex for the date detection (yyyy/MM/dd HH:mm:ss Z||yyyy/MM/dd Z). Per risolvere questo:

  • È possibile modificare il formato del timestamp che si sta inserendo per abbinare l'espressione regolare di default.
  • È possibile modificare la proprietà dynamic_date_format e inserire un'espressione regolare che corrisponda al formato corrente del timestamp.
  • È possibile impostare un index template e impostare il tipo "data" per il campo "timestamp".

In qualsiasi caso, è necessario eliminare l'indice e crearne uno nuovo o reindicizzare i dati.

fonte

2015-12-15 13:56:33 Pigueiras

+0

Quando lo faccio, suppongo di scegliere un nome di campo Ora, ma la casella di rilascio è vuota. Ho caricato un'altra immagine. – freefall

+0

@freefall Il problema è diverso, quindi ho aggiornato la mia risposta. – Pigueiras

+0

Ha funzionato. Molte grazie! Un'altra domanda. Alcuni dei miei appuntamenti sono scritti in forma word1-word2-word3. Elasticsearch di default in interpreti - come "splitter" per i campi di stringhe? Vedo che alcuni dei miei sono stati catalogati in più "bucket" – freefall

 Problemi correlati

  • Nessun problema correlato^_^