如何使用 Kibana 和 elasticsearch [7.5.0] 来跟踪包含特定值的文档数量
How to use Kibana and elastichsearch [7.5.0] to track number of documents containing particular value
我有一个索引,其中包含有关某些对象的信息。我想在我的 Kibana 仪表板上显示一些信息。让我们假设一个对象如下所示:
{
"_index": "obj",
"_type": "_doc",
"_id": "KwDPAHABfo5V345r4IYV",
"_version": 1,
"_score": 0,
"_source": {
"value_1": "some value",
"value_2": "some_other value",
"owner": "jason",
"modified_date": "2020-02-01T12:53:08.210317+00:00",
"created_date": "2020-02-01T12:53:08.243980+00:00"
}
}
我需要显示(实时)具有 owner: 'UNKNOWN' 的对象数量。问题是,这个值会随时间变化。每个更改都是一个新文档 - 它们不会被更新。我需要跟踪我目前看到的 UNKNOWN 所有者数量。更新(新文档)以固定的时间间隔发送给 elk。
当我尝试设置一个指标时,它有时会显示 0,在一次更新和另一次更新之间的 window 期间 - 当没有文档流入 elk 时。如何让 Kibana 仅显示带有 owner: 'UNKNOWN' 的最新文档?
How can I make Kibana display only last documents with owner: 'UNKNOWN'?
您可以为此设置数据 table 可视化,作为一维指标可视化的替代方法。
这就是我个人配置数据的方式table:
- 使用 'owner(.keyword) is UNKNOWN' 设置过滤器。
- 在字段 created_date(或@timestamp,这取决于您)上使用指标 'Top Hit' 而不是计数指标。
- 根据时间戳字段将顺序设置为降序。
- 为要在行中显示的每个字段拆分行(术语聚合)。这将在您的 table.
中创建 'columns'
- 转到选项选项卡并启用对所有行总和的计数。
- 设置合适的时间间隔,例如最后1小时。
这将显示字段所有者等于 UNKNOWN 的文档的所有相关数据。此外,您还可以按降序看到这些文档的 ingestion/creation 日期时间戳。此外,您会看到匹配的文档数量(如上所述通过选项选项卡配置)。
希望能帮到你
我有一个索引,其中包含有关某些对象的信息。我想在我的 Kibana 仪表板上显示一些信息。让我们假设一个对象如下所示:
{
"_index": "obj",
"_type": "_doc",
"_id": "KwDPAHABfo5V345r4IYV",
"_version": 1,
"_score": 0,
"_source": {
"value_1": "some value",
"value_2": "some_other value",
"owner": "jason",
"modified_date": "2020-02-01T12:53:08.210317+00:00",
"created_date": "2020-02-01T12:53:08.243980+00:00"
}
}
我需要显示(实时)具有 owner: 'UNKNOWN' 的对象数量。问题是,这个值会随时间变化。每个更改都是一个新文档 - 它们不会被更新。我需要跟踪我目前看到的 UNKNOWN 所有者数量。更新(新文档)以固定的时间间隔发送给 elk。
当我尝试设置一个指标时,它有时会显示 0,在一次更新和另一次更新之间的 window 期间 - 当没有文档流入 elk 时。如何让 Kibana 仅显示带有 owner: 'UNKNOWN' 的最新文档?
How can I make Kibana display only last documents with owner: 'UNKNOWN'?
您可以为此设置数据 table 可视化,作为一维指标可视化的替代方法。
这就是我个人配置数据的方式table:
- 使用 'owner(.keyword) is UNKNOWN' 设置过滤器。
- 在字段 created_date(或@timestamp,这取决于您)上使用指标 'Top Hit' 而不是计数指标。
- 根据时间戳字段将顺序设置为降序。
- 为要在行中显示的每个字段拆分行(术语聚合)。这将在您的 table. 中创建 'columns'
- 转到选项选项卡并启用对所有行总和的计数。
- 设置合适的时间间隔,例如最后1小时。
这将显示字段所有者等于 UNKNOWN 的文档的所有相关数据。此外,您还可以按降序看到这些文档的 ingestion/creation 日期时间戳。此外,您会看到匹配的文档数量(如上所述通过选项选项卡配置)。
希望能帮到你