elasticsearchに入っているデータがKibanaから参照できない

snowman_1114 · December 23, 2021, 3:35am

こんにちは

Elasticsearchにはデータが入っており、Index patternも対象のindexを含む形で行っているのですが、Discoverなどでデータを見ることができません。
filebeatのmodule(panw)からElasticsearchにデータ登録を行っています。（バージョンは7.16.1です）

APIをたたくとドキュメントは登録されている

GET /filebeat-panos-2021.12.23/_search

{
  "took" : 64,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 1773,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "filebeat-panos-2021.12.23",
        "_type" : "_doc",
        "_id" : "DppB5X0BusHE9F8Dr_y2",
        "_score" : 1.0,
        "_ignored" : [
          "log.original.keyword"
        ],
        "_source" : {
          "server" : {
            "nat" : {
              "port" : 443,

kibanaでのindex patternの登録も済んでいる

image1638×671 57 KB
Discoverの画面で見えない（タイムレンジを10年とかにしても表示されないです）

image1899×805 61.9 KB

原因や調査方法など、お分かりになる方いらっしゃいますでしょうか。

Tomo_M · December 23, 2021, 11:54am

各documentに@timestampフィールドはありますか？Timestamp fieldを---I don't want to use the time filter---を指定してindex patternを作るとどうでしょうか。documentの例とmappingを貼っていただければ、何か分かるかもしれません。

tsgkdt · December 24, 2021, 3:36am

Discoverの画面の右上に、Inspectというリンクが見えるかとおもいます。
そこから、Requestの個所をみていただくと、Discover画面で見ようとしたときにElasticsearchに対して発行したクエリを見ることができます。

このクエリを見ていただいて、何の条件がダメで検索にヒットしないのかを探してみるのはどうでしょうか。

system · January 21, 2022, 3:36am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.