Kibana:不需要的双重排序(为什么我保存的搜索按@timestamp 排序?)
Kibana: Unwanted double sorting (why is my saved search sorted by @timestamp?)
我们有一个经典的 ELK 设置并创建了一个仪表板来查看日志消息。
我们想按日志文件中的时间戳对日志消息进行排序,但目前它是按插入时间排序的(或者是 filebeats 读取时间?)
列:
- @timestamp: 插入时间
- 时间戳:解析后的日志时间戳
我试图更改仪表板中的日志排序,但这会导致奇怪的效果。
经过一番挖掘后,我发现:数据现在按 2 列排序:@timestamp 和 Timestamp。
所以问题是:为什么它完全按@timestamp 排序以及如何避免它?
(或者我可以通过强制 filebeats 将时间戳值放入@timestamp 来避免这个问题。但我真的很想了解这个问题......)
kibana 创建的弹性查询(来自 aved 搜索)的屏幕截图:
顺便说一句:时间戳列在索引映射中配置为时间过滤器字段
编辑
肯定有人手动对列进行了排序并保存了报告:
原创
我认为您在创建 Kibana 索引模式时选择了其中之一。这应该可以解决问题:
然后是第一个或最后一个选项:
我发现了问题:保存的查询按 "invisible" 列“@timestamp”排序。
解决方案:
- 再次添加列“@timestamp”
- 设置排序为"Timestamp"
- 删除按“@timestamp”排序
- 再次删除列“@timestamp”
我们有一个经典的 ELK 设置并创建了一个仪表板来查看日志消息。 我们想按日志文件中的时间戳对日志消息进行排序,但目前它是按插入时间排序的(或者是 filebeats 读取时间?)
列:
- @timestamp: 插入时间
- 时间戳:解析后的日志时间戳
我试图更改仪表板中的日志排序,但这会导致奇怪的效果。 经过一番挖掘后,我发现:数据现在按 2 列排序:@timestamp 和 Timestamp。
所以问题是:为什么它完全按@timestamp 排序以及如何避免它? (或者我可以通过强制 filebeats 将时间戳值放入@timestamp 来避免这个问题。但我真的很想了解这个问题......)
kibana 创建的弹性查询(来自 aved 搜索)的屏幕截图:
顺便说一句:时间戳列在索引映射中配置为时间过滤器字段
编辑
肯定有人手动对列进行了排序并保存了报告:
原创
我认为您在创建 Kibana 索引模式时选择了其中之一。这应该可以解决问题:
然后是第一个或最后一个选项:
我发现了问题:保存的查询按 "invisible" 列“@timestamp”排序。
解决方案:
- 再次添加列“@timestamp”
- 设置排序为"Timestamp"
- 删除按“@timestamp”排序
- 再次删除列“@timestamp”