Ответ 1
Отключите параметр Use event times to create index names и поместите имя индекса вместо шаблона (tests).
Опция, которую вы пытаетесь использовать, используется, когда у вас есть имена индексов на основе timestamp (представьте, что вы создаете новый индекс в день с помощью tests-2015.12.01, tests-2015.12.02...). Совершенно ясно, прочитаете ли вы сообщение при включении этой опции:
Шаблоны позволяют определять динамические имена индексов. Статический текст в имени индекса обозначается с помощью скобок. Пример: [logstash-] YYYY.MM.DD. Обратите внимание, что недели настраиваются на использование недель ISO, которые начинаются в понедельник.
РЕДАКТИРОВАТЬ: Проблема с пустым выпадающим списком в имени поля времени заключается в том, что у вас нет поля с типом даты при сопоставлении вашего индекса. Фактически вы можете проверить, выполняете ли вы GET /<index-name>/_mapping?pretty, что timestamp является строковым типом, а не "date". Это происходит потому, что формат не соответствует регулярному выражению для определения даты (yyyy/MM/dd HH:mm:ss Z||yyyy/MM/dd Z). Чтобы решить эту проблему:
- Вы можете изменить формат временной метки, которую вы вставляете, чтобы соответствовать регулярному выражению по умолчанию.
- Вы можете изменить свойство
dynamic_date_formatи поместить регулярное выражение, соответствующее текущему формату вашей метки времени. - Вы можете установить индексный шаблон и установить тип "дата" для поля "timestamp".
В любом случае вам нужно будет удалить индекс и создать новый или переиндексировать данные.