Abfrage Elemente von Zeitstempel in Logstash

Question

Also ich möchte alle Ereignisse seit einer bestimmten Zeit, zum Beispiel seit "2017-03-02T21:56:53.033Z".

Ich habe ein runtime_timestamp Feld, das kopiert nur die @timestamp Feld, weil ich diese Daten in C# und @ Symbole analysieren nicht spielen schön dort drin.

Hier ist mein Logstash-Filter dafür, der funktioniert. Ich weiß das ganz genau.

filter { 
    mutate { 
      add_field => ["runtime_timestamp", "%{@timestamp}"] 

    } 
} 

Hier ist das, was ich jetzt habe, das nicht funktioniert.

{ 
"query": { 
"range": { 
    "runtime_timestamp": 
    "2017-03-02T21:56:53.033Z" 
}, 
"_source": { 
"includes": [ 
    "runtime_timestamp", 
    "id_orig_p", 
    "id_orig_p", 
    "id_orig_h", 
    "conn_state", 
    "id_resp_h", 
    "id_resp_p", 
    "service", 
    "proto", 
    "tags" 
] 
}, 
"sort": [ 
{ 
    "@timestamp": { 
    "order": "desc" 
    } 
} 
] 
} 

Jetzt bekomme ich den folgenden Fehler von dieser Abfrage.

{ 
    "error" : { 
    "root_cause" : [ 
    { 
    "type" : "parsing_exception", 
    "reason" : "[range] query does not support [runtime_timestamp]", 
    "line" : 5, 
    "col" : 9 
    } 
    ], 
    "type" : "parsing_exception", 
    "reason" : "[range] query does not support [runtime_timestamp]", 
    "line" : 5, 
    "col" : 9 
    }, 
    "status" : 400 
} 

Ich habe versucht, diese Abfrage auch mit timestamp anstelle von runtime_timestamp, und ich immer noch den gleichen Fehler.

Answer 1

Ihre Bereichsabfrage ist fehlerhaft. Versuchen Sie dies stattdessen (gte bedeutet größer als gleich):

{ 
    "query": { 
     "range" : { 
      "runtime_timestamp" : { 
       "gte": "2017-03-02T21:56:53.033Z", 
      } 
     } 
    } 
}