asticsearch не смог получить события
У меня есть два события в asticsearch:
Событие 1:
{
"_index": "logstash-2013.11.26",
"_type": "logs",
"_id": "apuoW1Y8SBqVk_W_FOPKQQ",
"_score": 1.0,
"_source": {
"@timestamp": "2013-11-26T03:09:16.059Z",
"message": "testline3\ntestline1\n testline2\n testline3",
"@version": "1",
"type": "online_log",
"host": [
"suutw11"
],
"path": [
"/home/infra/logstash/test/test1.log",
"%{@source_path}"
],
"env": "SAT1",
"tags": [
"multiline",
"_grokparsefailure"
]
}
}
Событие 2:
{
"_index": "logstash-2013.11.26",
"_type": "logs",
"_id": "mMk-JBWjQh2Xmc8ERIDzmw",
"_score": 1.0,
"_source": {
"@source": "file://sudpb1/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
"@source_host": "sudpb1",
"@message": "10.100.2.66\t2013-11-26\t15:22:18\tGET\t/lb_check.jsp\t200\t3\t0.0010",
"@tags": [
"beaver"
],
"@fields": {
"host": [
"sudpb1"
],
"env": [
"BCV"
]
},
"@timestamp": "2013-11-26T04:24:29.471Z",
"@source_path": "/app/bckss04/dmacms_ear_p4_A/acmsdomain/logs/access.log",
"@type": "access_log",
"@version": "1",
"type": "redis-input"
}
}
Оба события можно получить:
curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
"query" : {
"match_all": {}
}
}'
Но Событие 1 не может быть получено:
curl -XGET 'http://sulog01:9200/logstash-2013.11.26/_search?pretty' -d '{
"query": {
"query_string": {
"query": "*"
}
}
}'
Более поздний синтаксис используется kibana, поэтому я хотел бы знать, что послужило причиной такого различного поведения и как это исправить, чтобы более поздний синтаксис мог также получать все события.
1 ответ
Вы ищете на _all поле с использованием вашего последнего запроса, так как вы не указываете ни имя поля в запросе, ни поле по умолчанию. Я думаю, что вы могли отключить _all поле в некоторой точке в сопоставлении, что приведет к документам, которые не имеют _all поле не подлежит возврату.