Kibana: Intégrer les sous-requêtes dans la barre d'outils

Pourriez-vous donner des exemples de la façon dont vous l'utiliseriez ? La barre de filtre Kibana prend en charge la requête DSL complète d'Elasticsearch, vous pouvez donc créer toutes les requêtes prises en charge par ES .

Le langage de requête @Bargs Splunk est plus qu'un simple langage de requête. C'est la langue de traitement de la recherche. Ce SPL offre la possibilité de décrire un pipeline de données : Filtrage, Agrégation, Transformation.

Les éléments suivants manquent définitivement dans le langage Lucene :

1. impossible de choisir les champs à renvoyer
2. impossible d'appliquer des agrégations aux résultats de la requête
3. impossible d'extraire de nouveaux champs
4. impossible de choisir l'index

Toutes ces choses que vous pouvez certainement obtenir si vous utilisez plusieurs contrôles d'interface utilisateur Kibana, mais Splunk fournit une meilleure UX si vous connaissez (!) Le langage de requête.

Voici un exemple de scénario :
Je voudrais rechercher dans tous les journaux HTTP pour visualiser le nombre de réponses 200 vs 500.

Dans Splunk

1. Vous devez saisir la requête suivante dans le champ de recherche :

index=haproxy (status=500 OR status=200) | timechart count by status

Dans cette requête, | timechart count by status est égal à deux (!) agrégation que nous appliquons aux résultats que nous obtenons de la requête index=haproxy (status=500 OR status=200)

1. et passez à l'onglet "Visualisation" (par défaut, vous verrez un graphique linéaire avec deux lignes)

Dans Kibana (version 6.2.1)

1. Vous devez choisir en découverte l'index correct "haproxy" dans le menu déroulant
2. Tapez ensuite requête :

status:200 OR status:500

1. Enregistrer la recherche sous un nom (plusieurs clics)
   
   
   
   1. Cliquez sur "enregistrer"
   
   
   2. Tapez un nom. Laisse utiliser mon "test de test" préféré
   
   
   3. Cliquez sur "Enregistrer"
   
   
2. Accédez à Visualiser et créez une visualisation avec agrégation par termes de statut de champ (énorme quantité de clics)
   
   
   
   1. Cliquez sur nouvelle visualisation
   
   
   2. Choisissez le type de graphique "Ligne"
   
   
   3. Choisissez la recherche enregistrée "Test test"
   
   
   4. Dans Buckets, choisissez "X-Axis". Pendant cette étape, je ne vois encore rien. C'est très frustrant car beaucoup d'efforts pour créer une visualisation idiote, mais aucun résultat pour le moment.
   
   
   5. Choisissez l'agrégation "Data Histogram"
   
   
   6. Pas de clic sur "Jouer" pour voir le résultat. Vous ne voyez qu'une seule ligne en raison d'une agrégation supplémentaire manquante
   
   
   7. Ajouter une sous-agrégation
   
   
   8. Choisissez la série fractionnée
   
   
   9. Choisissez "Sous-agrégation" par "Conditions"
   
   
   10. Choisissez le champ "statut"
   
   
   11. Vous devez maintenant cliquer sur "Play" pour voir votre visualisation finale avec deux lignes.
   
   

Comme vous pouvez le voir, il est très gênant d'effectuer des analyses ad hoc avec Kibana. Même la création de tableaux de bord dans Splunk est beaucoup plus facile que dans Kibana.

Merci pour les détails @torinaki. Nous avons en fait commencé à travailler sur un nouveau langage de requête qui nous permettra de créer des fonctionnalités comme vous l'avez décrit. Voici un ticket de brainstorming dans lequel nous avons conservé une liste de souhaits de fonctionnalités que nous aimerions ajouter. J'ai mis un lien vers votre commentaire afin de ne pas perdre le contexte, mais n'hésitez pas à commenter directement ce ticket s'il y a autre chose que vous souhaitez ajouter. Je vais fermer ce problème car il a été remplacé par des tickets plus à jour sur le nouveau langage de requête.