Kibana: دمج الاستعلامات الفرعية في شريط الأدوات

تم إنشاؤها على ١٦ سبتمبر ٢٠١٦  ·  3تعليقات  ·  مصدر: elastic/kibana

هل يمكنك دمج البحث مع الاستعلامات الفرعية؟
(مثل Splunk مع الأنبوب)

صِف الميزة :
في شريط الأدوات ، سيكون من المثير للاهتمام أن تتمكن من البحث مع نتائج استعلام آخر.

Query Bar feedback_needed
مصدر
picture treussart

التعليق الأكثر فائدة

لغة استعلام Bargs Splunk أكثر من مجرد لغة استعلام. إنه لغة معالجة البحث. يوفر مستوى ضغط البيانات هذا إمكانية وصف خط أنابيب البيانات: التصفية ، والتجميع ، والتحول.

إن اتباع الأشياء مفقود بالتأكيد في لغة لوسين:

  1. لا يمكن اختيار الحقول التي تريد إرجاعها
  2. لا يمكن تطبيق التجميعات على نتائج الاستعلام
  3. لا يمكن استخراج حقول جديدة
  4. لا يمكن اختيار الفهرس

كل هذه الأشياء التي يمكنك الحصول عليها بالتأكيد إذا كنت ستستخدم عناصر تحكم Kibana UI متعددة ، لكن Splunk يوفر تجربة مستخدم أفضل إذا كنت تعرف لغة الاستعلام (!).

فيما يلي مثال على السيناريو:
أرغب في البحث في جميع سجلات HTTP لتصور مقدار الردود 200 مقابل 500.

في سبلنك

  1. يجب عليك كتابة الاستعلام التالي في مربع البحث:
index=haproxy (status=500 OR status=200) | timechart count by status

في هذا الاستعلام ، | timechart count by status يساوي تجميعين (!) نطبقهما على النتائج التي نحصل عليها من الاستعلام index=haproxy (status=500 OR status=200)

  1. والتبديل إلى علامة التبويب "التصور" (بشكل افتراضي سترى مخططًا خطيًا يتكون من سطرين)

في Kibana (الإصدار 6.2.1)

  1. يجب عليك اختيار الفهرس الصحيح للاكتشاف "haproxy" في القائمة المنسدلة
  2. ثم اكتب الاستعلام:
status:200 OR status:500
  1. حفظ البحث تحت اسم ما (نقرات متعددة)

    1. انقر فوق "حفظ"

    2. اكتب بعض الاسم. دعنا نستخدم "اختبار الاختبار" المفضل لدي

    3. انقر فوق "حفظ"

  2. انتقل إلى تصور وقم بإنشاء تصور مع التجميع حسب شروط حالة الحقل (عدد هائل من النقرات)

    1. انقر فوق التصور الجديد

    2. اختر نوع الرسم البياني "خط"

    3. اختر بحث محفوظ "اختبار اختبار"

    4. في الجرافات ، اختر "المحور X". خلال هذه الخطوة ، لا أرى أي شيء حتى الآن. إنه أمر محبط للغاية لأن بذل الكثير من الجهد لإنشاء تصور سخيف ، ولكن لم يكن هناك نتيجة حتى الآن.

    5. اختر التجميع "الرسم البياني للبيانات"

    6. لا انقر فوق "تشغيل" لرؤية النتيجة. ترى سطرًا واحدًا فقط بسبب فقد التجميع الإضافي

    7. أضف التجميع الفرعي

    8. اختر تقسيم السلسلة

    9. اختر "تجميع فرعي" حسب "الشروط"

    10. اختر الحقل "الحالة"

    11. الآن عليك النقر فوق "تشغيل" لرؤية التصور النهائي الخاص بك مع سطرين.

كما ترى ، من غير الملائم إجراء تحليلات مخصصة باستخدام Kibana. حتى إنشاء لوحات المعلومات في Splunk أسهل بكثير مما هو عليه في Kibana.

picture dbalabka في ١٩ أبريل ٢٠١٨
👍2

ال 3 كومينتر

هل يمكنك تقديم بعض الأمثلة عن كيفية استخدام هذا؟ يدعم شريط مرشح Kibana استعلام Elasticsearch الكامل DSL ، لذا يمكنك صياغة أي استفسارات يدعمها ES.

Bargs picture Bargs في ١١ أكتوبر ٢٠١٦

لغة استعلام Bargs Splunk أكثر من مجرد لغة استعلام. إنه لغة معالجة البحث. يوفر مستوى ضغط البيانات هذا إمكانية وصف خط أنابيب البيانات: التصفية ، والتجميع ، والتحول.

إن اتباع الأشياء مفقود بالتأكيد في لغة لوسين:

  1. لا يمكن اختيار الحقول التي تريد إرجاعها
  2. لا يمكن تطبيق التجميعات على نتائج الاستعلام
  3. لا يمكن استخراج حقول جديدة
  4. لا يمكن اختيار الفهرس

كل هذه الأشياء التي يمكنك الحصول عليها بالتأكيد إذا كنت ستستخدم عناصر تحكم Kibana UI متعددة ، لكن Splunk يوفر تجربة مستخدم أفضل إذا كنت تعرف لغة الاستعلام (!).

فيما يلي مثال على السيناريو:
أرغب في البحث في جميع سجلات HTTP لتصور مقدار الردود 200 مقابل 500.

في سبلنك

  1. يجب عليك كتابة الاستعلام التالي في مربع البحث:
index=haproxy (status=500 OR status=200) | timechart count by status

في هذا الاستعلام ، | timechart count by status يساوي تجميعين (!) نطبقهما على النتائج التي نحصل عليها من الاستعلام index=haproxy (status=500 OR status=200)

  1. والتبديل إلى علامة التبويب "التصور" (بشكل افتراضي سترى مخططًا خطيًا يتكون من سطرين)

في Kibana (الإصدار 6.2.1)

  1. يجب عليك اختيار الفهرس الصحيح للاكتشاف "haproxy" في القائمة المنسدلة
  2. ثم اكتب الاستعلام:
status:200 OR status:500
  1. حفظ البحث تحت اسم ما (نقرات متعددة)

    1. انقر فوق "حفظ"

    2. اكتب بعض الاسم. دعنا نستخدم "اختبار الاختبار" المفضل لدي

    3. انقر فوق "حفظ"

  2. انتقل إلى تصور وقم بإنشاء تصور مع التجميع حسب شروط حالة الحقل (عدد هائل من النقرات)

    1. انقر فوق التصور الجديد

    2. اختر نوع الرسم البياني "خط"

    3. اختر بحث محفوظ "اختبار اختبار"

    4. في الجرافات ، اختر "المحور X". خلال هذه الخطوة ، لا أرى أي شيء حتى الآن. إنه أمر محبط للغاية لأن بذل الكثير من الجهد لإنشاء تصور سخيف ، ولكن لم يكن هناك نتيجة حتى الآن.

    5. اختر التجميع "الرسم البياني للبيانات"

    6. لا انقر فوق "تشغيل" لرؤية النتيجة. ترى سطرًا واحدًا فقط بسبب فقد التجميع الإضافي

    7. أضف التجميع الفرعي

    8. اختر تقسيم السلسلة

    9. اختر "تجميع فرعي" حسب "الشروط"

    10. اختر الحقل "الحالة"

    11. الآن عليك النقر فوق "تشغيل" لرؤية التصور النهائي الخاص بك مع سطرين.

كما ترى ، من غير الملائم إجراء تحليلات مخصصة باستخدام Kibana. حتى إنشاء لوحات المعلومات في Splunk أسهل بكثير مما هو عليه في Kibana.

dbalabka picture dbalabka في ١٩ أبريل ٢٠١٨
👍2

شكرا على التفاصيلtorinaki. لقد بدأنا بالفعل العمل على لغة استعلام جديدة ستمكننا من بناء ميزات مثل التي وصفتها. إليك تذكرة العصف الذهني حيث كنا نحتفظ بقائمة رغبات بالميزات التي نرغب في إضافتها. لقد ربطت بتعليقك حتى لا نفقد السياق ولكن لا تتردد في التعليق مباشرة على تلك التذكرة إذا كان هناك أي شيء آخر ترغب في إضافته. سأغلق هذه المشكلة نظرًا لأنه تم استبدالها بمزيد من التذاكر المحدثة حول لغة الاستعلام الجديدة.

Bargs picture Bargs في ٢٥ أبريل ٢٠١٨
👍1
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

bradvido picture bradvido  ·  3تعليقات
timroes picture timroes  ·  3تعليقات
Ginja picture Ginja  ·  3تعليقات
cafuego picture cafuego  ·  3تعليقات
bhavyarm picture bhavyarm  ·  3تعليقات