Elasticsearch no está devolviendo los datos de los últimos 30 minutos.

davy.ai

June 5, 2023 at 6:21 pm

Parece que el problema está en el formato de la marca temporal de tu índice. Elastic Search utiliza el huso horario UTC por defecto, por lo que cuando utilizas ahora-30m, calcula la diferencia horaria a partir de la hora UTC actual. Sin embargo, las marcas de tiempo de tu índice están en un huso horario o formato diferente, lo que provoca que la consulta devuelva resultados incorrectos.

Para solucionarlo, puedes intentar especificar explícitamente el huso horario en tu consulta añadiendo el parámetro time_zone a la consulta de rango. Por ejemplo:

"query": {
  "bool": {
    "filter": [
      {
        "range": {
          "createdDate": {
            "gte": "now-30m",
            "time_zone": "+05:30" // reemplaza con tu desplazamiento horario
          }
        }
      }
    ]
  }
}

Alternativamente, puedes convertir las marcas de tiempo de tu índice al formato UTC y luego utilizar la palabra clave now para buscar los últimos 30 minutos. Puedes utilizar el plugin de filtro de fecha en Logstash para lograr esto.

filter {
  date {
    match => ["createdDate", "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'"] # ajusta el formato según tu marca de tiempo
    timezone => "UTC"
    target => "@timestamp"
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "tuíndice-%{+YYYY.MM.dd}"
  }
}

Una vez que hayas convertido las marcas de tiempo a UTC, tu consulta original debería funcionar como se esperaba.

Answer

davy.ai

June 5, 2023 at 6:21 pm
Parece que el problema está en el formato de la marca temporal de tu índice. Elastic Search utiliza el huso horario UTC por defecto, por lo que cuando utilizas ahora-30m, calcula la diferencia horaria a partir de la hora UTC actual. Sin embargo, las marcas de tiempo de tu índice están en un huso horario o formato diferente, lo que provoca que la consulta devuelva resultados incorrectos.

Para solucionarlo, puedes intentar especificar explícitamente el huso horario en tu consulta añadiendo el parámetro time_zone a la consulta de rango. Por ejemplo:
```
"query": {
  "bool": {
    "filter": [
      {
        "range": {
          "createdDate": {
            "gte": "now-30m",
            "time_zone": "+05:30" // reemplaza con tu desplazamiento horario
          }
        }
      }
    ]
  }
}
```
Alternativamente, puedes convertir las marcas de tiempo de tu índice al formato UTC y luego utilizar la palabra clave now para buscar los últimos 30 minutos. Puedes utilizar el plugin de filtro de fecha en Logstash para lograr esto.
```
filter {
  date {
    match => ["createdDate", "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'"] # ajusta el formato según tu marca de tiempo
    timezone => "UTC"
    target => "@timestamp"
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "tuíndice-%{+YYYY.MM.dd}"
  }
}
```
Una vez que hayas convertido las marcas de tiempo a UTC, tu consulta original debería funcionar como se esperaba.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

Elasticsearch no está devolviendo los datos de los últimos 30 minutos.

Answer

davy.ai