Kibana: Интеграция подзапросов в панель инструментов

Не могли бы вы привести несколько примеров того, как вы будете использовать это? Панель фильтров Kibana поддерживает полный DSL запросов Elasticsearch, поэтому вы можете создавать любые запросы, поддерживаемые ES.

@Bargs Язык запросов Splunk больше, чем просто язык запросов. Это язык обработки поиска. Этот SPL предоставляет возможность описать конвейер данных: фильтрация, агрегация, преобразование.

Следующие вещи определенно отсутствуют в языке Lucene:

1. не могу выбрать, какие поля возвращать
2. нельзя применять агрегации к результатам запроса
3. не могу извлечь новые поля
4. не могу выбрать индекс

Все это вы определенно сможете получить, если будете использовать несколько элементов управления Kibana UI, но Splunk обеспечивает лучший UX, если вы знаете (!) язык запросов.

Вот пример сценария:
Я хотел бы выполнить поиск по всем журналам HTTP, чтобы визуализировать количество ответов 200 против 500.

В Спланке

1. В поле поиска необходимо ввести следующий запрос:

index=haproxy (status=500 OR status=200) | timechart count by status

В этом запросе | timechart count by status равно двум (!) агрегациям, которые мы применяем к результатам, полученным из запроса index=haproxy (status=500 OR status=200)

1. и переключитесь на вкладку «Визуализация» (по умолчанию вы увидите линейный график с двумя линиями)

В Кибане (версия 6.2.1)

1. Вы должны выбрать правильный индекс обнаружения "haproxy" в раскрывающемся списке.
2. Затем введите запрос:

status:200 OR status:500

1. Сохранить поиск под каким-либо именем (несколько кликов)
   
   
   
   1. Нажмите "сохранить"
   
   
   2. Введите какое-нибудь имя. Давайте воспользуемся моим любимым «Тестовым тестом»
   
   
   3. Нажмите "Сохранить"
   
   
2. Перейдите в Визуализировать и создайте визуализацию с агрегацией по условиям статуса поля (огромное количество кликов)
   
   
   
   1. Щелкните новую визуализацию
   
   
   2. Выберите тип диаграммы "Линия"
   
   
   3. Выберите сохраненный поиск "Тестовый тест"
   
   
   4. В Buckets выберите «X-Axis». На этом этапе я еще ничего не вижу. Это очень расстраивает, потому что сколько-то усилий для создания глупой визуализации, а результата пока нет.
   
   
   5. Выберите агрегацию «Гистограмма данных»
   
   
   6. Не нажимайте «Играть», чтобы увидеть результат. Вы видите только одну строку из-за отсутствия дополнительной агрегации
   
   
   7. Добавить субагрегацию
   
   
   8. Выберите сплит-серию
   
   
   9. Выберите «Подгруппа» в разделе «Условия».
   
   
   10. Выберите поле «Статус»
   
   
   11. Теперь вам нужно нажать «Воспроизвести», чтобы увидеть окончательную визуализацию с двумя линиями.
   
   

Как видите, выполнять специальную аналитику с помощью Kibana очень неудобно. Даже создавать информационные панели в Splunk намного проще, чем в Kibana.

Спасибо за подробности @torinaki. На самом деле мы начали работать над новым языком запросов, который позволит нам создавать функции, подобные описанным вами. Вот билет мозгового штурма, где мы вели список пожеланий функций, которые мы хотели бы добавить. Я сделал ссылку на ваш комментарий, чтобы мы не потеряли контекст, но не стесняйтесь оставлять комментарии непосредственно в этой заявке, если вы хотите добавить что-то еще. Я собираюсь закрыть эту проблему, так как она была заменена более актуальными тикетами о новом языке запросов.