у нас есть классическая настройка ELK и создана панель инструментов для просмотра сообщений журнала. мы хотим отсортировать сообщения журнала по отметке времени в файле журнала, но в данный момент он сортируется по времени вставки (или это время чтения файла?)
Столбцы:
- @timestamp: вставить время
- Timestamp: временная метка проанализированного журнала.
Я пытался изменить сортировку журналов на панели инструментов, но это приводит к странным эффектам. Немного покопавшись, я обнаружил: данные теперь сортируются по 2 столбцам: @timestamp и Timestamp.
Итак, вопрос: почему он вообще сортируется по @timestamp и как этого избежать? (Или я мог бы избежать проблемы, заставив файловые биты поместить значение Timestamp в @timestamp, но я действительно хотел бы понять проблему...)
снимок экрана с созданным эластичным запросом (из расширенного поиска) kibana: 
Кстати: столбец Timestamp настроен в отображении индекса как поле фильтра времени
