web-dev-qa-db-fra.com

Comment configurer le modèle d'index dans Kibana

J'ai connecté Kibana à mon instance ES.

cat/indices renvoie:

yellow open .kibana 1 1      1 0 3.1kb 3.1kb 
yellow open tests   5 1 413042 0 3.4gb 3.4gb

Cependant, j'obtiens ce qui suit sur l'écran de configuration de kibana. Qu'est-ce que je rate?

Kibana screenshot

Mise à jour:

enter image description here

Mon exemple de document ressemble à ceci

    "_index": "tests",
    "_type": "test7",
    "_id": "AVGlIKIM1CQ8BZRgLZVg",
    "_score": 1.7840601,
    "_source": {
       "severity": "ERROR",
       "code": "CODE,
       "message": "MESSAGE",
       "environment": "TEST",
       "error_uuid": "cbe99080-0bf3-495c-a417-77384ba0fd39",
       "correlation_id": "cf5a1fd5-4fd2-40bb-9cdf-405b91dcbd6f",
       "timestamp": "2015-11-20 15:24:39.831"
elasticsearchkibana
20
freefall

Désactivez l'option Use event times to create index names et mettez le nom d'index au lieu du modèle (tests).

L'option que vous essayez d'utiliser est utilisée lorsque vous avez des noms d'index basés sur l'horodatage (imaginez que vous créez un nouvel index par jour avec tests-2015.12.01, tests-2015.12.02...). Il est assez clair si vous lisez le message lorsque vous activez cette option:

Les modèles vous permettent de définir des noms d'index dynamiques. Le texte statique dans un nom d'index est indiqué entre crochets. Exemple: [logstash-] YYYY.MM.DD. Veuillez noter que les semaines sont configurées pour utiliser les semaines ISO qui commencent le lundi

EDIT: Le problème avec une liste déroulante vide dans le nom du champ horaire est parce que vous n'avez aucun champ avec un type de date dans le mappage de votre index . Vous pouvez réellement vérifier si vous le faites GET /<index-name>/_mapping?pretty, que timestamp est un type "chaîne" et non "date". Cela se produit car le format ne correspond pas au expression régulière pour la détection de date (yyyy/MM/dd HH:mm:ss Z||yyyy/MM/dd Z). Pour résoudre ceci:

  • Vous pouvez modifier le format de l'horodatage que vous insérez pour correspondre à l'expression régulière par défaut.
  • Vous pouvez modifier le dynamic_date_format et mettez une expression régulière qui correspond au format actuel de votre horodatage.
  • Vous pouvez définir un modèle d'index et définir le type "date" pour le champ "horodatage".

Dans tous les cas, vous devrez supprimer l'index et en créer un nouveau ou réindexer les données.

14
Pigueiras