跨多个索引搜索

Elastic Stack Serverless

您的地图可能包含多个 Elasticsearch 索引。当您的地图包含两个或多个来自不同索引的 Elasticsearch 源的图层时，可能会发生这种情况。 使用单个具有 Elasticsearch 源的图层和术语连接时，也可能发生这种情况。

跨多个索引搜索有时可能会导致图层为空。图层为空的最常见原因是搜索在一个索引中存在，但在其他索引中不存在的字段。

消除跨索引搜索中意外空图层的一种策略是禁用图层的全局搜索。

将_index添加到您的搜索中，以包含来自不包含搜索字段的索引的文档。

例如，假设您有一个向量图层显示 kibana_sample_data_logs 文档，另一个向量图层显示 kibana_sample_data_flights 文档。（参见添加示例数据来安装 kibana_sample_data_logs 和 kibana_sample_data_flights 索引。）

如果您查询

machine.os.keyword : "osx"

kibana_sample_data_flights 图层是空的，因为索引 kibana_sample_data_flights 不包含字段 machine.os.keyword，并且没有文档与查询匹配。

×

如果您改为查询

machine.os.keyword : "osx" or _index : "kibana_sample_data_flights"

kibana_sample_data_flights 图层包含数据。

×