处理延迟数据
Elastic Stack Serverless
延迟数据是指索引较晚的文档。 也就是说,它是与数据馈送已处理的时间相关的数据,因此永远不会被您的异常检测作业分析。
创建数据馈送时,您可以指定一个 query_delay 设置。 此设置使数据馈送可以等待超过实时一段时间,这意味着在此期间的任何“延迟”数据都将在数据馈送尝试收集之前完全索引。 但是,如果设置得太低,数据馈送可能会在数据被索引之前查询数据,从而错过该文档。 相反,如果设置得太高,分析会远离实时。 达到的平衡取决于每个用例和集群的环境因素。
重要提示
如果您收到一条错误,提示 Datafeed missed XXXX documents due to ingest latency,请考虑增加 query_delay 的值。 如果没有帮助,请调查摄取延迟及其原因。 您可以通过比较事件和摄取时间戳来做到这一点。 高延迟通常是由大量摄取的文档、摄取管道的错误配置或系统时钟未对齐引起的。