我正在从 fluent-amqp 插件发送日志,该插件添加了一个timestamp格式为 epoch 的字段,例如:
{
"key": "somekey",
"timestamp": 1547769614,
"payload": {
"log": "some logs",
"stream": "stdout"
}
}
但是,我无法在 Kibana 的时间选择器中选择时间戳字段以将其设置为_time. 我试图从名为timestamp和_timestamp的设置中添加一个元字段,但没有成功,因为即使我可以选择它作为时间选择器,它也不会在搜索页面中被解释,从而导致空日志。
有模板可以添加吗?要打勾的设置?还是我应该直接更新上游插件?我使用的是 6.5.4 版。
我建议创建一个索引模板,用于您的工作人员创建的所有未来索引。
PUT _template/my-index-template
{
"index-patterns": ["myindex*"], <--- replace your real index name/pattern here
"mappings": {
"-": {
"properties": {
"key": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"payload": {
"properties": {}
},
"timestamp": {
"type": "date" <-- this is what changed
}
}
}
}
}
我决定分叉 ruby 插件并将纪元时间转换为 Elasticsearch 可读的时间格式,例如:"2019-01-21T01:18:39+00:00". 它运行良好,我可以在 Kibana 中选择该领域。