A
-f 2020-09-08T10:05:00Z -t 2020-09-08T10:20:00Z
Size: a a a
2020 September 08
A
а так ?
NA
Если export_data напрямую подставляет время в ES, то буковки Z не хватало )
NA
Вчера с таким же сталкивался
R
2020-09-08 13:28:08,000: Detected ES version: 7.4
2020-09-08 13:28:08,064: No ptsiem_r_ indices in ES
2020-09-08 13:28:08,106: No more data
2020-09-08 13:28:08,064: No ptsiem_r_ indices in ES
2020-09-08 13:28:08,106: No more data
NA
siem_r
NA
имена индексов сменились
NA
ptsiem_ больше не используется
R
Но, если сдвинуть окно
R
-f 2020-09-03T10:05:00 -t 2020-09-08T10:20:00
R
то все отрабатывает
R
И без Z :)
A
siem_r
всё ок, это для совместимости пока
NA
Валер, т.е. сейчас старые данные остались в ptsiem_, а новые уже в siem_ ?
A
Валер, т.е. сейчас старые данные остались в ptsiem_, а новые уже в siem_ ?
да, после перехода на 22 продолжаем поддерживать ptsiem_ и siem_
NA
Roman B вот и ответ на ваш вопрос. Вы попали временным окном в область с новыми данными )
NA
вопрос только в том, умеет ли export_data в новые имена индексов )
A
из SDK 23 умеет точно
A
RB
Но, если сдвинуть окно
а это уже интересно)