0

我在弹性搜索中有两个事件:

事件一:

{
  "_index": "logstash-2013.11.26",
  "_type": "logs",
  "_id": "apuoW1Y8SBqVk_W_FOPKQQ",
  "_score": 1.0,
  "_source": {
    "@timestamp": "2013-11-26T03:09:16.059Z",
    "message": "testline3\ntestline1\n testline2\n testline3",
    "@version": "1",
    "type": "online_log",
    "host": [
      "suutw11"
    ],
    "path": [
      "/home/infra/logstash/test/test1.log",
      "%{@source_path}"
    ],
    "env": "SAT1",
    "tags": [
      "multiline",
      "_grokparsefailure"
    ]
  }
}

活动二:

{
  "_index": "logstash-2013.11.26",
  "_type": "logs",
  "_id": "mMk-JBWjQh2Xmc8ERIDzmw",
  "_score": 1.0,
  "_source": {
    "@source": "file://sudpb1/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
    "@source_host": "sudpb1",
    "@message": "10.100.2.66\t2013-11-26\t15:22:18\tGET\t/lb_check.jsp\t200\t3\t0.0010",
    "@tags": [
      "beaver"
    ],
    "@fields": {
      "host": [
        "sudpb1"
      ],
      "env": [
        "BCV"
      ]
    },
    "@timestamp": "2013-11-26T04:24:29.471Z",
    "@source_path": "/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
    "@type": "access_log",
    "@version": "1",
    "type": "redis-input"
  }
}

这两个事件都可以通过:

curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
  "query" : {
    "match_all": {}
  }
}'

但事件 1 无法通过:

curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
  "query": {
    "query_string": {
      "query": "*"
    }
  }
}'

kibana 使用了后面的语法,所以我想知道是什么导致了这种不同的行为以及如何解决这个问题,以便后面的语法也可以获取所有事件。

4

1 回答 1

0

您正在_all使用最后一个查询在字段上进行搜索,因为您没有在查询中指定字段名称,也没有指定默认字段。我认为您可能_all在映射中的某个位置禁用了该字段,这将导致不_all返回没有该字段的文档。

于 2013-11-28T07:04:47.647 回答