0
У меня есть два события в elasticsearch:elasticsearch не удалось получить событий
Событие 1:
{
"_index": "logstash-2013.11.26",
"_type": "logs",
"_id": "apuoW1Y8SBqVk_W_FOPKQQ",
"_score": 1.0,
"_source": {
"@timestamp": "2013-11-26T03:09:16.059Z",
"message": "testline3\ntestline1\n testline2\n testline3",
"@version": "1",
"type": "online_log",
"host": [
"suutw11"
],
"path": [
"/home/infra/logstash/test/test1.log",
"%{@source_path}"
],
"env": "SAT1",
"tags": [
"multiline",
"_grokparsefailure"
]
}
}
Событие 2:
{
"_index": "logstash-2013.11.26",
"_type": "logs",
"_id": "mMk-JBWjQh2Xmc8ERIDzmw",
"_score": 1.0,
"_source": {
"@source": "file://sudpb1/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
"@source_host": "sudpb1",
"@message": "10.100.2.66\t2013-11-26\t15:22:18\tGET\t/lb_check.jsp\t200\t3\t0.0010",
"@tags": [
"beaver"
],
"@fields": {
"host": [
"sudpb1"
],
"env": [
"BCV"
]
},
"@timestamp": "2013-11-26T04:24:29.471Z",
"@source_path": "/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
"@type": "access_log",
"@version": "1",
"type": "redis-input"
}
}
Оба события могут получить по:
curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
"query" : {
"match_all": {}
}
}'
Но событие 1 не может быть:
curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
"query": {
"query_string": {
"query": "*"
}
}
}'
Позднее синтаксис используется kibana, поэтому я хотел бы знать, что послужило причиной этого различное поведение и как это исправить, так что позже синтаксис может также получить все события.
Вы ищете в поле _all полевого запроса вашего последнего запроса. возможно, вы отключили его в какой-то момент в картографии? Вероятно, лучше указать поля, которые вы хотите найти? – javanna
Большое спасибо, что это очень хороший намек! Я фактически отключил поле _all для сохранения дисковых пространств. Похоже, что снова активированное поле _all решило мою проблему. – flyasfish
Рад слышать, тогда добавил мой комментарий. – javanna