Kibana: Integrasikan Subqueries di toolbar

Bisakah Anda memberikan beberapa contoh bagaimana Anda akan menggunakan ini? Bilah filter Kibana mendukung DSL kueri Elasticsearch lengkap, sehingga Anda dapat membuat kueri apa pun yang didukung ES .

@Bargs Splunk bahasa kueri lebih dari sekadar bahasa kueri. Ini adalah Bahasa Pemrosesan Pencarian. SPL ini memberikan kemungkinan untuk menggambarkan pipeline data: Filtering, Aggregation, Transformation.

Hal-hal berikut ini pasti hilang dalam bahasa Lucene:

1. tidak dapat memilih bidang apa yang akan dikembalikan
2. tidak dapat menerapkan agregasi ke hasil kueri
3. tidak dapat mengekstrak bidang baru
4. tidak dapat memilih indeks

Semua hal ini pasti bisa Anda dapatkan jika Anda akan menggunakan beberapa kontrol UI Kibana, tetapi Splunk menyediakan UX yang lebih baik jika Anda tahu bahasa kueri (!).

Berikut adalah contoh skenario:
Saya ingin menelusuri semua log HTTP untuk memvisualisasikan jumlah 200 vs 500 tanggapan.

Di Splunk

1. Anda harus mengetikkan kueri berikut di kotak pencarian:

index=haproxy (status=500 OR status=200) | timechart count by status

Dalam kueri ini | timechart count by status sama dengan dua (!) agregasi yang kami terapkan pada hasil yang kami dapatkan dari kueri index=haproxy (status=500 OR status=200)

1. dan beralih ke tab "Visualisasi" (secara default Anda akan melihat diagram garis dengan dua garis)

Di Kibana (versi 6.2.1)

1. Anda harus memilih dalam penemuan indeks yang benar "haproxy" di drop-down
2. Kemudian ketik kueri:

status:200 OR status:500

1. Simpan pencarian di bawah beberapa nama (beberapa klik)
   
   
   
   1. Klik "simpan"
   
   
   2. Ketik beberapa nama. Mari gunakan "Tes Tes" favorit saya
   
   
   3. Klik "Simpan"
   
   
2. Buka Visualisasikan dan buat visualisasi dengan agregasi berdasarkan status bidang (jumlah klik yang besar)
   
   
   
   1. Klik visualisasi baru
   
   
   2. Pilih jenis bagan "Garis"
   
   
   3. Pilih pencarian tersimpan "Tes tes"
   
   
   4. Di Bucket pilih "X-Axis". Selama langkah ini, saya belum melihat apa pun. Ini sangat membuat frustrasi karena beberapa upaya untuk membuat visualisasi yang konyol, tetapi belum ada hasil.
   
   
   5. Pilih agregasi "Data Histogram"
   
   
   6. Tidak ada klik "Mainkan" untuk melihat hasilnya. Anda hanya melihat satu baris karena tidak ada agregasi tambahan
   
   
   7. Tambahkan sub-agregasi
   
   
   8. Pilih Seri Terpisah
   
   
   9. Pilih "Sub Agregasi" dengan "Persyaratan"
   
   
   10. Pilih bidang "status"
   
   
   11. Sekarang Anda harus mengklik "Mainkan" untuk melihat visualisasi akhir Anda dengan dua garis.
   
   

Seperti yang Anda lihat, sangat merepotkan untuk melakukan analitik ad-hoc dengan Kibana. Bahkan membuat dasbor di Splunk jauh lebih mudah daripada di Kibana.

Terima kasih atas detailnya @torinaki. Kami sebenarnya telah mulai mengerjakan bahasa kueri baru yang memungkinkan kami membuat fitur seperti yang telah Anda jelaskan. Berikut adalah tiket brainstorming di mana kami telah menyimpan daftar keinginan fitur yang ingin kami tambahkan. Saya telah menautkan ke komentar Anda sehingga kami tidak kehilangan konteksnya tetapi jangan ragu untuk berkomentar langsung di tiket itu jika ada hal lain yang ingin Anda tambahkan. Saya akan menutup masalah ini karena telah digantikan oleh lebih banyak tiket terbaru tentang bahasa kueri baru.