Kibana ne montre aucun résultat dans l'onglet "Découvrir"

j'ai configuré elasticsearch et Kibana pour indexer nos logs d'application (erreur). Le problème est que Kibana n'affiche aucune donnée dans l'onglet "Découvrir".

situation actuelle

  • Elasticsearch est en place et en cours d'exécution, répond à l'API
  • l'exécution d'une requête directement sur Elasticsearch comme http://elasticserver.com:9200/applogs/_search?q=* renvoie beaucoup de résultats (voir ci-dessous comment un seul enregistrement trouvé ressemble)
  • Kibana est opérationnel, trouve même l'indice applogs exposé par Elasticsearch
  • Kibana montre également les propriétés correctes et le type de données du applogs documents
  • L'onglet
  • " Discover " ne donne aucun résultat...même en fixant la période à quelques années...

des idées??

Voici comment Kibana voit le applogs index :

enter image description here

Elastic search résultat de la requête, l'objet ressemble à ceci:

{
_index: "applogs",
_type: "1",
_id: "AUxv8uxX6xaLDVAP5Zud",
_score: 1,
_source: {
   appUid: "esb.Idman_v4.getPerson",
   level: "trace",
   message: "WS stopwatch is at 111ms.",
   detail: "",
   url: "",
   user: "bla bla bla",
   additionalInfo: "some more info",
   timestamp: "2015-03-31T15:08:49"
 }
},

..et ce que je vois dans l'onglet découvrir :

enter image description here

69
demandé sur Juri 2015-03-31 18:06:40

12 réponses

Pour les personnes qui a un problème comme :

changer l'heure dans le coin supérieur droit.

par défaut, il affiche les données uniquement pour les 15 dernières minutes .

137
répondu dasar 2015-11-06 12:58:33

je voulais faire un commentaire, mais malheureusement, je ne suis pas en mesure de donner ma mauvaise mise en pension pour le faire. Comme @Ngeunpo l'a suggéré, voici comment ajouter un champ time à un index tout en le créant: enter image description here . Si vous ne l'avez pas fait lors de la création de votre index, je vous suggère de supprimer cet index et de le recréer. Le nom d'index logstash - * dans le gif est analogue à votre index applogs . Dans ce cas, champ @timestamp est ajouté comme champ time. Laissez-moi savoir si cela fonctionne.

EDIT: Image courtoisie: Cette merveilleux ELK guide d'installation

18
répondu mathakoot 2015-07-15 18:29:30

Kibana ne comprend pas le champ timestamp , si son format est incorrect. Timestamp , que vous avez sélectionné en cliquant sur Time-field name lorsque vous configurez un motif d'index, need to be:

"timestamp":"2015-08-05 07:40:20.123"

alors vous devriez mettre à jour votre cartographie d'index comme ceci:

curl -XPUT 'http://localhost:9200/applogs/1/_mapping' -d'
{
  "1": {
    "timestamp": {
      "enabled": true,
      "type": "date",
      "format": "yyyy-MM-dd HH:mm:ss.SSS",
      "store": true
    }
  }
}'

voir cette question et réponse

mise à JOUR

si vous utilisez ES 2.X, vous pouvez définir le "format" à "epoch_millis" comme ceci:

curl -XPUT 'http://localhost:9200/applogs/1/_mapping' -d'
{
  "1": {
    "timestamp": {
      "type": "date",
      "format": "epoch_millis",
      "store": true,
      "doc_values": true
    }
  }
}'
8
répondu Green Lei 2017-05-23 12:26:24

exemple d'image pour le wapiti créant un indice ou un motif

Essayez ceci: décochez "Index contient des événements basés sur la case à cocher" et puis fournir votre nom d'index puis cochez "découvrir" si elle contient des données ou non

5
répondu Vignesh Ammasi 2017-01-05 13:09:53

j'ai eu le même problème et cela a fonctionné pour moi:

  1. Supprimer l'index de l'onglet Paramètres.
  2. redémarrer Kibana
  3. puis Ajouter à nouveau dans les paramètres

Les problèmes avec le Temps de la Série, j'en suis sûr, peut également être un problème, mais si aucun des champs effectivement à le Découvrir onglet, alors vous pourriez avoir la même question en tant que journaliste d'origine et ce que j'avais.

4
répondu lazieburd 2015-06-19 12:19:07

j'ai eu le même problème, et @tAn-'commentaire m'a aidé à le résoudre. Changer le champ date en @timestamp a fait l'affaire. Merci!

la prochaine étape devrait être de découvrir qu'il y avait une erreur avec mon champ de date personnalisé.

2
répondu Pangur 2016-08-08 19:29:43

j'ai probablement eu le même problème - je vois des données dans le tableau de bord Mais 0 Résultats dans discover. Aller à la gestion > motif Index > bouton rafraîchir la liste déposée (un bouton avec l'icône rafraîchir seulement) résolu pour moi.

2
répondu user1929895 2017-11-14 08:48:33

j'ai eu le même problème, mais maintenant sa fonctionne bien. Le problème était avec le @timestamp. En fait, j'ai téléchargé le fichier elasticsearch en utilisant logstash et il génère automatiquement un champ @timestamp. Kibana comparez l'intervalle de temps avec ce @ timestamp, c'est-à-dire quand l'événement réel s'est produit.Même si je désélectionne L'option "Index contains time-based events" dans add new index pattern page, kibana considérera automatiquement le champ @timestamp.Donc basculer avec le calendrier sur kibana basé sur le @champ timestamp a fonctionné pour moi. Vous pouvez également vérifier en ajoutant le motif d'index avec un horodatage et désélectionner "Index contains time-based events" option.Voir ce qui se passe ..maintenant, il n'y aura pas d'option de sélection de période dans kibana la page de découverte et vous obtiendrez très probablement le résultat dans la page de découverte. Ce sont toutes mes observations, pas sûr, cette solution correspond à votre cas ..vous pouvez essayer.. J'utilise ES 1.5 x, logstash 1.5.1 et kibana 4.1.0

1
répondu talin 2015-06-20 11:40:22

j'ai aussi connu la même erreur. cela se produit principalement à cause du format de temps . Fondamentalement, assurez-vous que vous avez un délai valide pour vos données (filtre en haut à droite). Bref, dans mon cas, j'ai utilisé le format epoch time pour timestamp mais ça n'a pas marché. Donc j'ai changé en epoch_millisec à la place et ça a fonctionné comme un charme.

en résumé, assurez-vous que Kibana peut comprendre votre format date time. Il est nécessaire de epoch_millisec par défaut pas seulement epoch.

1
répondu Fony Lew 2017-08-24 08:36:47

sans rapport avec OP, mais si votre instance de Kibana s'écrase pendant que vous essayez de la faire reconnaître par votre index( sous Paramètres > Indices), voir https://github.com/elastic/kibana/issues/6419 qui a réglé le problème pour moi aussi.

0
répondu jmkgreen 2016-09-05 10:21:58

j'ai eu le même problème, donc, comme montré dans l'une des solutions ci-dessus, je suis allé à Paramètres et a supprimé l'index précédent et a fait un nouveau avec @timestamp.

mais cela n'a pas résolu le problème. Donc, j'ai regardé la question et j'ai vu, après un déploiement, qu'il n'y avait rien qui arrivait à Kibana.

alors, je suis allé dans le serveur, et j'ai vu que les index étaient corrompus. Donc j'ai juste arrêté le logstash et elasticsearch sur l'instance / server et redémarré service. Et voilà, il a relancé le service avec succès et kibana était de retour.

POURQUOI EST-CE ARRIVÉ ?

Quelqu'un aurait pu arrêter le serveur brusquement, ce qui a provoqué la corruption des index.

0
répondu Golokesh Patra 2017-09-07 06:47:03

dans ma situation, tout fonctionnait auparavant et puis je ne pouvais pas voir les dernières données à partir du 1er février (en fait, je pourrais si je regardais en arrière d'un mois). Il s'avère que le format de mapping pour mon timelield personnalisé était incorrect. Mon format de mapping était YYYY-MM-DD'T'HH:mm:ss.SSSZ . Le problème était que DD est interprétée comme un jour de l'année et je voulais jour du mois qui est dd . Changer la cartographie et réindexer a résolu le problème.

0
répondu darkwing 2018-02-01 22:13:55