Как выполнить поиск по временному диапазону в Кибане

Мы используем ELK для агрегирования логов. Можно ли искать события, произошедшие в конкретном временном диапазоне. Допустим, я хочу увидеть все исключения, которые произошли с 10 до 11 утра в прошлом месяце.

Можно ли извлечь часть времени из @timestamp и каким-то образом выполнить поиск по диапазону (аналогично date () в SQL)?


logstash kibana kibana-4
person markus    schedule 22.05.2015    source источник
comment
Селектор временного диапазона Kibana в правом верхнем углу - это то, что вы ищете?   -  person Magnus Bäck    schedule 25.05.2015
comment
@ MagnusBäck привет нет, я имел в виду, что хотел бы найти все события, которые произошли, скажем, между 10 и 11 часами утра в течение всего дня в течение последнего месяца. Поэтому я ищу дополнительный параметр фильтра / запроса временного диапазона, который нужно добавить поверх селектора диапазона. любая идея?   -  person markus    schedule 26.05.2015
comment
О, я вижу. Я считаю, что это возможно со скриптовым полем. Я видел примеры этого (возможно, в блоге Elastic), но не помню подробностей.   -  person Magnus Bäck    schedule 26.05.2015
comment
@ MagnusBäck, спасибо. Я проверю это в Google ...   -  person markus    schedule 26.05.2015
comment
Разве ты не можешь просто сделать это? {query: {range: {@timestamp: {gte: 1478511000000, lte: 1478514600000}}}}   -  person Jean-François Beauchef    schedule 16.11.2016
comment
@ Jean-FrançoisBeauchef нет, я хотел найти все события, которые произошли между 10 и 11 часами утра, независимо от того, в какой день это событие произошло. Например. Событие 1 1 мая 10:17, Событие 2 3 мая 10:23, Событие 3 7 мая 10; 11 и так далее ...   -  person markus    schedule 16.11.2016
comment
Аааа понял. :)   -  person Jean-François Beauchef    schedule 16.11.2016

Ответы (1)


arrow_upward
6
arrow_downward

Спасибо Магнусу, который указал мне на просмотр скриптовых полей. Взгляните на: https://www.elastic.co/blog/kibana-4-beta-3-now-more-filtery

or

https://www.elastic.co/guide/en/elasticsearch/reference/1.3/search-request-script-fields.html.

К сожалению, вы не можете использовать эти скриптовые поля в запросах, а только в визуализации.

Поэтому я прибег к обходному пути и использовал фильтр сброса logstashs, чтобы удалить события, которые я не хочу отображать в Kibana в первую очередь. Это не идеально по очевидным причинам, но работает.

person markus    schedule 27.05.2015