为什么此范围查询返回空结果?

时间:2015-10-15 11:40:00

标签: elasticsearch

我正在查询elasticsearch(2.0)群集,并希望获得时间戳大于特定时间段的事件(2015年8月30日,以下情况):

POST /constant_scan/vulnerability/_search
{
   "query":{
      "filtered":{
         "filter":{
            "range":{
               "HOST_START_iso":{
                  "lt":"2015-08-30"
               }
            }
         }
      }
   }
}

此搜索返回

{
   "took": 44,
   "timed_out": false,
   "_shards": {
      "total": 5,
      "successful": 5,
      "failed": 0
   },
   "hits": {
      "total": 0,
      "max_score": null,
      "hits": []
   }
}

数据库有相关记录。对所有元素的查询返回(其中包含)8月20日(早于8月30日)时间戳的条目

{
   "took": 241,
   "timed_out": false,
   "_shards": {
      "total": 5,
      "successful": 5,
      "failed": 0
   },
   "hits": {
      "total": 58517,
      "max_score": 1,
      "hits": [
         {
            "_index": "scan_constant",
            "_type": "vulnerability",
            "_id": "10.89.0.103",
            "_score": 1,
            "_source": {
               "private": true,
               "authenticated": false,
               "HOST_START_iso": "2015-08-20T10:19:24+00:00"
            }
         },
         (...)

我尝试使用完整的ISO日期作为分隔符,尝试lte代替lt - 结果相同。搜索更新的事件,日期产生相同的事件(该日期两边都有事件)

1 个答案:

答案 0 :(得分:1)

您正在查询constant_scan索引

POST /constant_scan/vulnerability/_search

当您的文档存储在scan_constant索引中时(根据您提供的示例文档)

尝试将您的查询张贴到此网址:

POST /scan_constant/vulnerability/_search