Kibana: Integrieren Sie Unterabfragen in die Symbolleiste

Können Sie einige Beispiele nennen, wie Sie dies verwenden würden? Die Kibana-Filterleiste unterstützt die vollständige Elasticsearch-Abfrage-DSL, sodass Sie alle Abfragen erstellen können, die ES unterstützt.

@Bargs Splunk-Abfragesprache ist mehr als nur eine Abfragesprache. Es ist die Suchverarbeitungssprache. Diese SPL bietet eine Möglichkeit, die Datenpipeline zu beschreiben: Filterung, Aggregation, Transformation.

Folgende Dinge fehlen definitiv in der Lucene-Sprache:

1. kann nicht auswählen, welche Felder zurückgegeben werden sollen
2. kann keine Aggregationen auf Abfrageergebnisse anwenden
3. kann keine neuen Felder extrahieren
4. Index kann nicht ausgewählt werden

All diese Dinge können Sie definitiv erreichen, wenn Sie mehrere Kibana-UI-Steuerelemente verwenden, aber Splunk bietet eine bessere UX, wenn Sie (!) die Abfragesprache kennen.

Hier ist ein Beispielszenario:
Ich möchte alle HTTP-Protokolle durchsuchen, um die Menge von 200 vs. 500 Antworten zu visualisieren.

Bei Splunk

1. Sie müssen die folgende Abfrage in das Suchfeld eingeben:

index=haproxy (status=500 OR status=200) | timechart count by status

In dieser Abfrage ist | timechart count by status gleich zwei (!) Aggregationen, die wir auf Ergebnisse anwenden, die wir von der Abfrage index=haproxy (status=500 OR status=200) erhalten

1. und wechseln Sie zum Tab "Visualisierung" (standardmäßig sehen Sie ein Liniendiagramm mit zwei Linien)

In Kibana (Version 6.2.1)

1. Sie müssen bei der Erkennung den richtigen Index „haproxy“ im Dropdown-Menü auswählen
2. Geben Sie dann Abfrage ein:

status:200 OR status:500

1. Suche unter einem Namen speichern (mehrere Klicks)
   
   
   
   1. Klicken Sie auf "Speichern"
   
   
   2. Geben Sie einen Namen ein. Lassen Sie meinen Lieblings "Test Test" verwenden
   
   
   3. Klicken Sie auf "Speichern"
   
   
2. Gehen Sie zu Visualisieren und erstellen Sie eine Visualisierung mit Aggregation nach Feldstatus (sehr viele Klicks)
   
   
   
   1. Klicken Sie auf Neue Visualisierung
   
   
   2. Wählen Sie den Diagrammtyp "Linie"
   
   
   3. Gespeicherte Suche „Test test“ auswählen
   
   
   4. Wählen Sie in Buckets "X-Axis". Während dieses Schritts sehe ich noch nichts. Es ist sehr frustrierend, weil einige viel Mühe haben, eine dumme Visualisierung zu erstellen, aber noch kein Ergebnis.
   
   
   5. Wählen Sie die Aggregation "Datenhistogramm"
   
   
   6. Klicken Sie nicht auf "Spielen", um das Ergebnis zu sehen. Wegen fehlender zusätzlicher Aggregation sehen Sie nur eine Zeile
   
   
   7. Unteraggregation hinzufügen
   
   
   8. Wählen Sie Serie teilen
   
   
   9. Wählen Sie „Unteraggregation“ bei „Begriffe“
   
   
   10. Feld "Status" auswählen
   
   
   11. Jetzt müssen Sie auf "Play" klicken, um Ihre endgültige Visualisierung mit zwei Linien zu sehen.
   
   

Wie Sie sehen können, ist es sehr umständlich, Ad-hoc-Analysen mit Kibana durchzuführen. Auch das Erstellen von Dashboards in Splunk ist viel einfacher als in Kibana.

Danke für die Details @torinaki. Wir haben tatsächlich damit begonnen, an einer neuen Abfragesprache zu arbeiten, die es uns ermöglichen wird, Funktionen wie die von Ihnen beschriebenen zu erstellen. Hier ist ein Brainstorming- Ticket , in dem wir eine Wunschliste mit Funktionen geführt haben, die wir hinzufügen möchten. Ich habe Ihren Kommentar verlinkt, damit wir den Kontext nicht verlieren, aber Sie können dieses Ticket gerne direkt kommentieren, wenn Sie noch etwas hinzufügen möchten. Ich werde dieses Thema schließen, da es durch aktuellere Tickets zur neuen Abfragesprache ersetzt wurde.