1

我想用 _timestamp 的默认值(现在的日期)索引文档,在 elasticsearch 索引文档时设置此字段。我想用一种格式保存 _timestamp,以便以后我可以在 Kibana 中使用它。到目前为止,我已经尝试了很多事情,这是尝试获得所需结果的最简单方法:

{
    "mappings": {
        "_default_" : {
                      "_timestamp" : {"enabled" : true, "store" : "yes"}
        }
    }
}

是否可以为此 _timestamp 提供诸如“2015-02-25”之类的格式?

使用实际映射,值在纪元时间戳中:

fields: {
_timestamp: 1424895937428
}

即使我没有给 _timestamp 提供所需的格式,kibana 也无法识别这个值,所以我无法通过这个值进行查询。

到目前为止,我还尝试在映射中使用 {"format" : "YYYY-MM-dd"} 或 {"index" : "analyzed" } 等选项,但没有运气。

这是我正在尝试的可能吗?

4

1 回答 1

0

你用什么将数据传递到elasticsearch?
我现在正在使用 fluentd,并让它读取 json 列表。
在我的配置中,我在源设置中有时间位,如下所示:

keys date, prot, srcip, srcport, country, org, dstip, dstport
time_key date
time_format %Y-%m-%dT%H:%M:%S.%L%:z

日期是传入的json中的第一个字段,以给定的格式。
这对我有用,并且该值存储在@timestamp 字段中,并且索引通常默认为前缀-YYYY.MM.DD。

于 2015-02-26T08:21:30.523 回答