Почему этот запрос диапазона возвращает пустые результаты?

Question

Я запрашивая в elasticsearch (2.0) кластер, и хотел бы получить событие с меткой времени старше определенные один (30 августа 2015 в приведенном ниже случае):

POST /constant_scan/vulnerability/_search 
{ 
    "query":{ 
     "filtered":{ 
     "filter":{ 
      "range":{ 
       "HOST_START_iso":{ 
        "lt":"2015-08-30" 
       } 
      } 
     } 
     } 
    } 
} 

Этот поиск возвращает

{ 
    "took": 44, 
    "timed_out": false, 
    "_shards": { 
     "total": 5, 
     "successful": 5, 
     "failed": 0 
    }, 
    "hits": { 
     "total": 0, 
     "max_score": null, 
     "hits": [] 
    } 
} 

БД имеет соответствующие записи. Запрос для всех элементов возвращает, в частности, запись с отметкой времени 20 августа (старше 30 августа)

{ 
    "took": 241, 
    "timed_out": false, 
    "_shards": { 
     "total": 5, 
     "successful": 5, 
     "failed": 0 
    }, 
    "hits": { 
     "total": 58517, 
     "max_score": 1, 
     "hits": [ 
     { 
      "_index": "scan_constant", 
      "_type": "vulnerability", 
      "_id": "10.89.0.103", 
      "_score": 1, 
      "_source": { 
       "private": true, 
       "authenticated": false, 
       "HOST_START_iso": "2015-08-20T10:19:24+00:00" 
      } 
     }, 
     (...) 

Я пытался использовать полную дату ISO в качестве разделителя, пыталась lte вместо lt - то же Результаты. Поиск событий новее, что дата дает то же самое (есть события с обеих сторон этой даты)

Answer 1

Вы запрашивая constant_scan индекс

POST /constant_scan/vulnerability/_search 

в то время как ваши документы хранятся в индексе scan_constant (согласно для образца документа вы предоставили)

попробуйте отправить запрос на этот URL вместо:

POST /scan_constant/vulnerability/_search