Kibana: サブクエリをツールバーに統合する

作成日 2016年09月16日  ·  3コメント  ·  ソース: elastic/kibana

リサーチをサブクエリと統合できますか?
(パイプ付きのSplunkのように)

機能を説明してください:
ツールバーで、別のクエリの結果を検索できると便利です。

Query Bar feedback_needed
ソース
picture treussart

最も参考になるコメント

@Bargs Splunkクエリ言語は、単なるクエリ言語ではありません。 検索処理言語です。 このSPLは、データのパイプライン(フィルタリング、集約、変換)を記述する可能性を提供します。

Lucene言語では、次のことが明らかに欠けています。

  1. 返すフィールドを選択できません
  2. クエリ結果に集計を適用できません
  3. 新しいフィールドを抽出できません
  4. インデックスを選択できません

複数のKibanaUIコントロールを使用する場合は、これらすべてを確実に取得できますが、クエリ言語を知っている(!)場合、Splunkはより優れたUXを提供します。

シナリオの例を次に示します。
すべてのHTTPログを検索して、200対500の応答の量を視覚化したいと思います。

Splunkで

  1. 検索ボックスに次のクエリを入力する必要があります。
index=haproxy (status=500 OR status=200) | timechart count by status

このクエリでは、 | timechart count by statusは、クエリindex=haproxy (status=500 OR status=200)から取得した結果に適用する2つの(!)集計に相当します。

  1. [視覚化]タブに切り替えます(デフォルトでは、2本の線で折れ線グラフが表示されます)

Kibana (バージョン6.2.1)

  1. ドロップダウンで、検出時に正しいインデックス「haproxy」を選択する必要があります
  2. 次に、queryと入力します。
status:200 OR status:500
  1. なんらかの名前で検索を保存(複数回クリック)

    1. 「保存」をクリックします

    2. 名前を入力します。 私のお気に入りの「テストテスト」を使ってみましょう

    3. 「保存」をクリックします

  2. ビジュアライゼーションに移動し、フィールドステータス(大量のクリック数)による集計を使用してビジュアライゼーションを作成します

    1. 新しいビジュアライゼーションをクリックします

    2. チャートタイプ「線」を選択

    3. 保存された検索「テストテスト」を選択します

    4. バケットで「X軸」を選択します。 このステップの間、私はまだ何も見えません。 ばかげた視覚化を作成するためにかなりの努力が必要なため、非常にイライラしますが、まだ結果はありません。

    5. 集計「データヒストグラム」を選択します

    6. 結果を見るために「再生」をクリックしないでください。 追加の集計が欠落しているため、1行しか表示されません

    7. サブアグリゲーションを追加

    8. 分割シリーズを選択

    9. 「用語」で「サブアグリゲーション」を選択します

    10. フィールド「ステータス」を選択

    11. 次に、[再生]をクリックして、2行で最終的な視覚化を確認する必要があります。

ご覧のとおり、Kibanaを使用してアドホック分析を実行するのは非常に不便です。 Splunkでダッシュボードを作成することでさえ、Kibanaよりもはるかに簡単です。

picture dbalabka 2018年04月19日
👍2

全てのコメント3件

これをどのように使用するかの例をいくつか挙げていただけますか? Kibanaフィルターバーは完全なElasticsearchクエリDSLをサポートしているため、ESがサポートするクエリを作成できます。

Bargs picture Bargs 2016年10月11日

@Bargs Splunkクエリ言語は、単なるクエリ言語ではありません。 検索処理言語です。 このSPLは、データのパイプライン(フィルタリング、集約、変換)を記述する可能性を提供します。

Lucene言語では、次のことが明らかに欠けています。

  1. 返すフィールドを選択できません
  2. クエリ結果に集計を適用できません
  3. 新しいフィールドを抽出できません
  4. インデックスを選択できません

複数のKibanaUIコントロールを使用する場合は、これらすべてを確実に取得できますが、クエリ言語を知っている(!)場合、Splunkはより優れたUXを提供します。

シナリオの例を次に示します。
すべてのHTTPログを検索して、200対500の応答の量を視覚化したいと思います。

Splunkで

  1. 検索ボックスに次のクエリを入力する必要があります。
index=haproxy (status=500 OR status=200) | timechart count by status

このクエリでは、 | timechart count by statusは、クエリindex=haproxy (status=500 OR status=200)から取得した結果に適用する2つの(!)集計に相当します。

  1. [視覚化]タブに切り替えます(デフォルトでは、2本の線で折れ線グラフが表示されます)

Kibana (バージョン6.2.1)

  1. ドロップダウンで、検出時に正しいインデックス「haproxy」を選択する必要があります
  2. 次に、queryと入力します。
status:200 OR status:500
  1. なんらかの名前で検索を保存(複数回クリック)

    1. 「保存」をクリックします

    2. 名前を入力します。 私のお気に入りの「テストテスト」を使ってみましょう

    3. 「保存」をクリックします

  2. ビジュアライゼーションに移動し、フィールドステータス(大量のクリック数)による集計を使用してビジュアライゼーションを作成します

    1. 新しいビジュアライゼーションをクリックします

    2. チャートタイプ「線」を選択

    3. 保存された検索「テストテスト」を選択します

    4. バケットで「X軸」を選択します。 このステップの間、私はまだ何も見えません。 ばかげた視覚化を作成するためにかなりの努力が必要なため、非常にイライラしますが、まだ結果はありません。

    5. 集計「データヒストグラム」を選択します

    6. 結果を見るために「再生」をクリックしないでください。 追加の集計が欠落しているため、1行しか表示されません

    7. サブアグリゲーションを追加

    8. 分割シリーズを選択

    9. 「用語」で「サブアグリゲーション」を選択します

    10. フィールド「ステータス」を選択

    11. 次に、[再生]をクリックして、2行で最終的な視覚化を確認する必要があります。

ご覧のとおり、Kibanaを使用してアドホック分析を実行するのは非常に不便です。 Splunkでダッシュボードを作成することでさえ、Kibanaよりもはるかに簡単です。

dbalabka picture dbalabka 2018年04月19日
👍2

詳細@torinakiをありがとう。 私たちは実際に、あなたが説明したような機能を構築できるようにする新しいクエリ言語の開発を開始しました。 これは、追加したい機能のウィッシュリストを保持しているブレーンストーミングチケットです。 私はあなたのコメントにリンクしているので、文脈を失うことはありませんが、他に追加したいことがあれば、そのチケットに直接コメントしてください。 新しいクエリ言語に関する最新のチケットに取って代わられたため、この問題をクローズします。

Bargs picture Bargs 2018年04月25日
👍1
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

stacey-gammon picture stacey-gammon  ·  3コメント
bhavyarm picture bhavyarm  ·  3コメント
Ginja picture Ginja  ·  3コメント
timroes picture timroes  ·  3コメント
timmolter picture timmolter  ·  3コメント