我已经通过合并两个索引创建了新索引。这是使用enrich处理器完成的。接下来的步骤是stack post elasticsearch基于公共字段合并多个索引
此索引包含合并的数据。但是在kibana可视化上使用这些数据时,它不允许应用日期过滤器。日期过滤器总是炫耀。
这有什么问题吗?为了方便起见,这些步骤被复制到下面。
put/\u enrich/policy/user policy{“match”:{“index”:“db poc user”,“match\u field”:“nic”,“enrich\u fields”:[“fname”,“lname”]}
POST /_enrich/policy/user-policy/_execute
PUT /_ingest/pipeline/user_lookup
{
"description" : "Enriching user details with tracks",
"processors" : [
{
"enrich" : {
"policy_name": "user-policy",
"field" : "nic",
"target_field": "tmp",
"max_matches": "1"
}
},
{
"script": {
"if": "ctx.tmp != null",
"source": "ctx.putAll(ctx.tmp); ctx.remove('tmp');"
}
},
{
"remove": {
"field": ["@version", "@timestamp", "type"]
}
}
]
}
POST _reindex
{
"source": {
"index": "db-poc-ceg"
},
"dest": {
"index": "user_tracks",
"pipeline": "user_lookup"
}
}
1条答案
按热度按时间xuo3flqw1#
删除管道中的@timestamp。默认情况下,它是kibana用来Map上下文日期范围的字段。你可以
从管道的remove处理器中移除@timestamp
在kibana的索引模式中选择另一个日期字段作为默认日期
你应该能够再次使用正常的行为