针对你遇到的Sentinl配置里timestamp的最近1天范围查询被忽略的问题，我整理了几个实用的排查和解决方向，你可以一步步尝试：

• 确认timestamp字段的映射类型
  首先要排查的是你的timestamp字段是否为date类型——如果它被定义成了text或keyword类型，Elasticsearch就无法解析now-1d这种时间表达式，自然会忽略这个range条件。
  你可以在Kibana的Dev Tools中执行以下命令查看字段映射：

  GET _mapping/field/timestamp
  

  如果映射类型不对，需要将其修改为date类型（注意已有数据的话，可能需要重新索引才能生效）。

• 优化range查询的语法细节
  有时候Sentinl对时间范围的解析需要更明确的参数，你可以尝试调整range查询的写法：

  1. 补充to参数和时间格式，让查询更清晰：

     { "range": { "timestamp": { "from": "now-1d", "to": "now", "format": "strict_date_optional_time" } } }
     

  2. 改用gte（大于等于）替代from，部分场景下这种写法的兼容性更好：

     { "range": { "timestamp": { "gte": "now-1d" } } }
     

• 单独验证查询语句的有效性
  把Sentinl配置里的查询body单独拿出来，在Kibana的Dev Tools中执行，看看是否能正确过滤出最近1天的错误数据：

  GET */_search
  {
    "size": 0,
    "query": {
      "bool": {
        "must": [
          { "match": { "appName": "CreditDecisionServiceAPI" } },
          { "match": { "level": "ERROR" } },
          { "range": { "timestamp": { "from": "now-1d" } } }
        ]
      }
    }
  }
  

  如果这个单独查询能得到正确结果，说明问题出在Sentinl的配置或环境上；如果单独查询也无效，那就要继续调整查询语句本身。

• 检查Sentinl与Elasticsearch的版本兼容性
  部分旧版本的Sentinl对Elasticsearch的时间表达式存在兼容bug，你可以核对一下两者的版本是否匹配。如果版本不兼容，建议升级到官方推荐的稳定匹配版本。

• 尝试调整时间范围的表达式写法
  你当前用的是now-1d，可以换成now-24h这种更直观的小时单位表达式，看看Sentinl是否能正确解析这个时间范围。

内容的提问来源于stack exchange，提问作者Juan Venter