elasticsearchに入っているデータがKibanaから参照できない

Elastic In Your Native Tongue 日本語による質問・議論はこちら
1

こんにちは

Elasticsearchにはデータが入っており、Index patternも対象のindexを含む形で行っているのですが、Discoverなどでデータを見ることができません。
filebeatのmodule(panw)からElasticsearchにデータ登録を行っています。(バージョンは7.16.1です)

  • APIをたたくとドキュメントは登録されている
GET /filebeat-panos-2021.12.23/_search

{
  "took" : 64,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 1773,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "filebeat-panos-2021.12.23",
        "_type" : "_doc",
        "_id" : "DppB5X0BusHE9F8Dr_y2",
        "_score" : 1.0,
        "_ignored" : [
          "log.original.keyword"
        ],
        "_source" : {
          "server" : {
            "nat" : {
              "port" : 443,

原因や調査方法など、お分かりになる方いらっしゃいますでしょうか。

2

各documentに@timestampフィールドはありますか?Timestamp fieldを---I don't want to use the time filter---を指定してindex patternを作るとどうでしょうか。documentの例とmappingを貼っていただければ、何か分かるかもしれません。

3

Discoverの画面の右上に、Inspectというリンクが見えるかとおもいます。
そこから、Requestの個所をみていただくと、Discover画面で見ようとしたときにElasticsearchに対して発行したクエリを見ることができます。

このクエリを見ていただいて、何の条件がダメで検索にヒットしないのかを探してみるのはどうでしょうか。

image
image1916×937 97.5 KB

4

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.