Kibana: Integrar subconsultas na barra de ferramentas

Você poderia fornecer alguns exemplos de como você usaria isso? A barra de filtro do Kibana suporta a consulta DSL completa do Elasticsearch, para que você possa criar quaisquer consultas que o ES suporta.

@Bargs Splunk linguagem de consulta mais do que apenas linguagem de consulta. É a linguagem de processamento de pesquisa. Este SPL oferece a possibilidade de descrever pipeline de dados: Filtragem, Agregação, Transformação.

As seguintes coisas definitivamente estão faltando na linguagem Lucene:

1. não consigo escolher quais campos retornar
2. não é possível aplicar agregações aos resultados da consulta
3. não consigo extrair novos campos
4. não consigo escolher o índice

Todas essas coisas você definitivamente pode obter se usar vários controles de interface do usuário do Kibana, mas o Splunk fornece uma melhor UX se você souber (!) a linguagem de consulta.

Aqui está um exemplo de cenário:
Gostaria de pesquisar em todos os logs HTTP para visualizar a quantidade de 200 vs 500 respostas.

Em Splunk

1. Você deve digitar a seguinte consulta na caixa de pesquisa:

index=haproxy (status=500 OR status=200) | timechart count by status

Nesta consulta | timechart count by status é igual a duas (!) agregações que aplicamos aos resultados que obtemos da consulta index=haproxy (status=500 OR status=200)

1. e mude para a aba "Visualização" (por padrão, você verá um gráfico de linhas com duas linhas)

No Kibana (versão 6.2.1)

1. Você deve escolher na descoberta o índice correto "haproxy" no menu suspenso
2. Em seguida, digite a consulta:

status:200 OR status:500

1. Salvar pesquisa com algum nome (vários cliques)
   
   
   
   1. Clique em "salvar"
   
   
   2. Digite algum nome. Vamos usar meu "teste de teste" favorito
   
   
   3. Clique em "Salvar"
   
   
2. Acesse Visualizar e crie uma visualização com agregação por termos de status do campo (enorme quantidade de cliques)
   
   
   
   1. Clique em nova visualização
   
   
   2. Escolha o tipo de gráfico "Linha"
   
   
   3. Escolha a pesquisa salva "Teste de teste"
   
   
   4. Em Baldes, escolha "Eixo X". Durante esta etapa, ainda não vejo nada. É muito frustrante porque há muito esforço para criar uma visualização boba, mas nenhum resultado ainda.
   
   
   5. Escolha a agregação "Histograma de dados"
   
   
   6. Não clique em "Play" para ver o resultado. Você vê apenas uma linha devido à falta de agregação adicional
   
   
   7. Adicionar subagregação
   
   
   8. Escolha a série dividida
   
   
   9. Escolha "Subagregação" por "Termos"
   
   
   10. Escolha o campo "status"
   
   
   11. Agora você precisa clicar em "Play" para ver sua visualização final com duas linhas.
   
   

Como você pode ver, é muito inconveniente realizar análises ad-hoc com o Kibana. Até mesmo criar painéis no Splunk é muito mais fácil do que no Kibana.

Obrigado pelos detalhes @torinaki. Na verdade, começamos a trabalhar em uma nova linguagem de consulta que nos permitirá criar recursos como você descreveu. Aqui está um tíquete de brainstorming onde mantemos uma lista de desejos de recursos que gostaríamos de adicionar. Eu vinculei seu comentário para que não percamos o contexto, mas sinta-se à vontade para comentar diretamente nesse ticket se houver mais alguma coisa que você queira adicionar. Vou encerrar este problema, pois ele foi substituído por tickets mais atualizados sobre a nova linguagem de consulta.