Kibana: Integrar subconsultas en la barra de herramientas

¿Podría proporcionar algunos ejemplos de cómo usaría esto? La barra de filtro de Kibana es compatible con el DSL completo de consultas de Elasticsearch, por lo que puede crear cualquier consulta compatible con ES.

@Bargs Splunk lenguaje de consulta más que solo lenguaje de consulta. Es un lenguaje de procesamiento de búsqueda. Este SPL brinda la posibilidad de describir la canalización de datos: Filtrado, Agregación, Transformación.

Definitivamente faltan las siguientes cosas en el idioma de Lucene:

1. no puedo elegir qué campos devolver
2. no se pueden aplicar agregaciones a los resultados de la consulta
3. no puedo extraer nuevos campos
4. no puedo elegir el índice

Definitivamente puede obtener todas estas cosas si usa varios controles de interfaz de usuario de Kibana, pero Splunk proporciona una mejor experiencia de usuario si conoce (!) el lenguaje de consulta.

Aquí hay un ejemplo de escenario:
Me gustaría buscar en todos los registros HTTP para visualizar la cantidad de 200 frente a 500 respuestas.

En Splunk

1. Tienes que escribir la siguiente consulta en el cuadro de búsqueda:

index=haproxy (status=500 OR status=200) | timechart count by status

En esta consulta | timechart count by status es igual a dos (!) agregaciones que aplicamos a los resultados que obtenemos de la consulta index=haproxy (status=500 OR status=200)

1. y cambie a la pestaña "Visualización" (de forma predeterminada, verá un gráfico de líneas con dos líneas)

En Kibana (versión 6.2.1)

1. Debe elegir en el descubrimiento el índice correcto "haproxy" en el menú desplegable
2. Luego escriba consulta:

status:200 OR status:500

1. Guardar búsqueda con algún nombre (múltiples clics)
   
   
   
   1. Clic en Guardar"
   
   
   2. Escribe algún nombre. Vamos a usar mi "prueba de prueba" favorita
   
   
   3. Clic en Guardar"
   
   
2. Vaya a Visualizar y cree una visualización con agregación por términos de estado de campo (gran cantidad de clics)
   
   
   
   1. Haga clic en nueva visualización
   
   
   2. Elija el tipo de gráfico "Línea"
   
   
   3. Elija la búsqueda guardada "Prueba de prueba"
   
   
   4. En Cubos, elija "Eje X". Durante este paso, todavía no veo nada. Es muy frustrante porque se hace un gran esfuerzo para crear una visualización tonta, pero aún no hay resultado.
   
   
   5. Elija la agregación "Histograma de datos"
   
   
   6. No haga clic en "Jugar" para ver el resultado. Solo ve una línea porque falta una agregación adicional
   
   
   7. Agregar subagregación
   
   
   8. Elija Serie dividida
   
   
   9. Elija "Subagregación" por "Términos"
   
   
   10. Elija el campo "estado"
   
   
   11. Ahora debe hacer clic en "Reproducir" para ver su visualización final con dos líneas.
   
   

Como puede ver, es muy inconveniente realizar análisis ad-hoc con Kibana. Incluso crear paneles en Splunk es mucho más fácil que en Kibana.

Gracias por los detalles @torinaki. De hecho, comenzamos a trabajar en un nuevo lenguaje de consulta que nos permitirá crear funciones como las que describió. Aquí hay un ticket de lluvia de ideas donde hemos estado guardando una lista de deseos de características que nos gustaría agregar. He vinculado tu comentario para que no perdamos el contexto, pero siéntete libre de comentar directamente en ese ticket si hay algo más que quieras agregar. Voy a cerrar este problema ya que ha sido reemplazado por tickets más actualizados sobre el nuevo lenguaje de consulta.