您可以将研究与子查询结合起来吗?
(就像 Splunk 和管道一样)
描述功能:
在工具栏中,能够使用另一个查询的结果进行搜索会很有趣。
treussart
所有3条评论
你能提供一些你将如何使用它的例子吗? Kibana 过滤器栏确实支持完整的 Elasticsearch 查询 DSL,因此您可以制作 ES 支持的任何查询。
Bargs
于 2016-10-11
@Bargs Splunk 查询语言不仅仅是查询语言。 它是搜索处理语言。 此 SPL 提供了描述数据管道的可能性:过滤、聚合、转换。
Lucene 语言中肯定缺少以下内容:
- 无法选择要返回的字段
- 无法将聚合应用于查询结果
- 无法提取新字段
- 无法选择索引
如果您将使用多个 Kibana UI 控件,那么您肯定可以获得所有这些东西,但是如果您知道(!)查询语言,Splunk 会提供更好的用户体验。
这是场景示例:
我想搜索所有 HTTP 日志以可视化 200 与 500 响应的数量。
在 Splunk 中
- 您必须在搜索框中键入以下查询:
index=haproxy (status=500 OR status=200) | timechart count by status
在此查询中, | timechart count by status等于两个 (!) 聚合,我们将其应用于从查询index=haproxy (status=500 OR status=200)获得的结果
- 并切换到“可视化”选项卡(默认情况下,您将看到带有两条线的折线图)
在 Kibana (版本 6.2.1)中
- 您必须在下拉列表中选择正确的索引“haproxy”
- 然后输入查询:
status:200 OR status:500
- 以某个名称保存搜索(多次单击)
- 点击“保存”
- 键入一些名称。 让我们使用我最喜欢的“测试测试”
- 点击“保存”
- 转到可视化并根据字段状态(大量点击)创建具有聚合的可视化
- 单击新可视化
- 选择图表类型“线”
- 选择保存的搜索“测试测试”
- 在 Buckets 中选择“X-Axis”。 在这一步中,我还没有看到任何东西。 这是非常令人沮丧的,因为创建一个愚蠢的可视化需要付出很多努力,但还没有结果。
- 选择聚合“数据直方图”
- 没有点击“播放”查看结果。 由于缺少额外的聚合,您只看到一行
- 添加子聚合
- 选择拆分系列
- 按“条款”选择“子聚合”
- 选择字段“状态”
- 现在您必须单击“播放”才能看到带有两行的最终可视化。
如您所见,使用 Kibana 执行临时分析非常不方便。 甚至在 Splunk 中创建仪表板也比在 Kibana 中容易得多。
dbalabka
于 2018-04-19
👍2
感谢@torinaki 提供的详细信息。 实际上,我们已经开始研究一种新的查询语言,这将使我们能够构建您所描述的功能。 这是一张头脑风暴票,我们一直在其中保留我们想要添加的功能的愿望清单。 我已链接到您的评论,因此我们不会丢失上下文,但如果您还有其他要添加的内容,请随时直接对该票发表评论。 我将关闭这个问题,因为它已被关于新查询语言的更多最新票所取代。
Bargs
于 2018-04-25
👍1
此页面是否有帮助?
0 / 5 - 0 等级
相关问题
ctindel
·
3评论
timroes
·
3评论
bradvido
·
3评论
stacey-gammon
·
3评论
tbragin
·
3评论
最有用的评论
@Bargs Splunk 查询语言不仅仅是查询语言。 它是搜索处理语言。 此 SPL 提供了描述数据管道的可能性:过滤、聚合、转换。
Lucene 语言中肯定缺少以下内容:
如果您将使用多个 Kibana UI 控件,那么您肯定可以获得所有这些东西,但是如果您知道(!)查询语言,Splunk 会提供更好的用户体验。
这是场景示例:
我想搜索所有 HTTP 日志以可视化 200 与 500 响应的数量。
在 Splunk 中
在此查询中,
| timechart count by status等于两个 (!) 聚合,我们将其应用于从查询index=haproxy (status=500 OR status=200)获得的结果在 Kibana (版本 6.2.1)中
如您所见,使用 Kibana 执行临时分析非常不方便。 甚至在 Splunk 中创建仪表板也比在 Kibana 中容易得多。