elasticsearch 基巴纳垂直条形图,elasticsearch,logstash,kibana,kibana-4,elastic-stack,elasticsearch,Logstash,Kibana,Kibana 4,Elastic Stack" /> elasticsearch 基巴纳垂直条形图,elasticsearch,logstash,kibana,kibana-4,elastic-stack,elasticsearch,Logstash,Kibana,Kibana 4,Elastic Stack" />
Fatal编程技术网

elasticsearch 基巴纳垂直条形图

logstash kibana

elasticsearch 基巴纳垂直条形图,elasticsearch,logstash,kibana,kibana-4,elastic-stack,elasticsearch,Logstash,Kibana,Kibana 4,Elastic Stack,我已经设置了ELK堆栈,下面的JSON类型存储在elasticsearch中(下面的JSON是从Kibana UI复制的) 现在我想显示垂直条形图,当“action”等于“passthrough”时,它将有前5个“hostname” { “_指数”:“logstash-2016.06.16”, “_类型”:“utm”, “_id”:“AVVaFcaB7mNsx5uOb1-u”, “_分数”:空, “_来源”:{ “消息”:“日期=2016-06-16时间=22:10:26主机名=\”google

我已经设置了ELK堆栈,下面的JSON类型存储在elasticsearch中(下面的JSON是从Kibana UI复制的)

现在我想显示垂直条形图,当“action”等于“passthrough”时,它将有前5个“hostname”

{
“_指数”:“logstash-2016.06.16”,
“_类型”:“utm”,
“_id”:“AVVaFcaB7mNsx5uOb1-u”,
“_分数”:空,
“_来源”:{
“消息”:“日期=2016-06-16时间=22:10:26主机名=\”googleads.g.doubleclick.net\“配置文件=\”软件部门\“操作=传递”,
“@version”:“1”,
“@时间戳”:“2016-06-16T16:40:24.284Z”,
“主机名”:“googleads.g.doubleclick.net”,
“档案”:“软件部”,
“操作”:“传递”
},
“字段”:{
“@timestamp”:[
1466095224284
]
},
“排序”:[
1466095224284
]
}
我被困在这里,能够显示前5个主机名,但它们并没有被“action”和“passthrough”过滤掉

有两种解决方案,因为您需要在动作记录=传递中添加一个过滤器

  • 转到“查找”页面并在搜索查询中输入:-
    • 行动:穿越

  • 在“发现”页面中,您可以从“字段列表”面板中选择过滤器,在该面板中,您可以单击字段名称,即操作,并选择与直通名称对应的正放大镜(按钮)

  • 您还可以通过观察发现页面中的记录并单击与字段和值名称对应的正放大镜按钮来创建过滤器

    • 您甚至可以锁定过滤器,该过滤器将在Kibana的各个选项卡上持久存在,即,如果您在“发现”页面中创建过滤器,即使您打开“可视化”或“仪表板”页面,也会添加过滤器

  • 直接在可视化中,可以添加过滤器聚合或指定操作的子聚合:passthrough
    • 有两种解决方案,因为您需要在action=passthrough的记录中添加一个过滤器

  • 转到“查找”页面并在搜索查询中输入:-
    • 行动:穿越

  • 在“发现”页面中,您可以从“字段列表”面板中选择过滤器,在该面板中,您可以单击字段名称,即操作,并选择与直通名称对应的正放大镜(按钮)

  • 您还可以通过观察发现页面中的记录并单击与字段和值名称对应的正放大镜按钮来创建过滤器

    • 您甚至可以锁定过滤器,该过滤器将在Kibana的各个选项卡上持久存在,即,如果您在“发现”页面中创建过滤器,即使您打开“可视化”或“仪表板”页面,也会添加过滤器

  • 直接在可视化中,可以添加过滤器聚合或指定操作的子聚合:passthrough
    • 转到查找页面并输入搜索查询:
    action:passthrough

    在发现页面中输入查询后,保存当前搜索:

    然后,在创建可视化时,选择可视化类型后,使用“从已保存的搜索”选择已创建的搜索。
    在这种情况下,只有来自搜索的文档才会出现在图表上。

    转到发现页面并输入搜索查询:
    操作:passthrough

    在发现页面中输入查询后,保存当前搜索:

    然后,在创建可视化时,选择可视化类型后,使用“从已保存的搜索”选择已创建的搜索。
    在这种情况下,只有来自搜索的文档才会出现在图表上。

    Hii@Yuvraj,谢谢您的回复。”你甚至可以在Kibana’的各个选项卡上设置过滤器,我不想这样,因为我只想在特定的图表上应用这个过滤器。请详细说明其他解决方案好吗?@BhushanPatil如果您只想在图表中添加过滤器,那么解决方案是4号,您可以添加子存储桶,选择子聚合作为过滤器,并指定过滤器作为操作:passthroughHii@Yuvraj,谢谢您的回复。”你甚至可以在Kibana’的各个选项卡上设置过滤器,我不想这样,因为我只想在特定的图表上应用这个过滤器。请详细说明其他解决方案好吗?@BhushanPatil如果您只想在图表中添加筛选器,那么解决方案是第4个,您可以在其中添加子bucket并选择子聚合作为筛选器,并将筛选器指定为action:passthrough 
    {
    "_index": "logstash-2016.06.16",
    "_type": "utm",
    "_id": "AVVaFcaB7mNsx5uOb1-_",
    "_score": null,
    "_source": {
        "message": "<190>date=2016-06-16 time=22:10:26  hostname=\"googleads.g.doubleclick.net\" profile=\"Software_Dept\" action=passthrough",
        "@version": "1",
        "@timestamp": "2016-06-16T16:40:24.284Z",
        "hostname": "googleads.g.doubleclick.net",
        "profile": "Software_Dept",
        "action": "passthrough"
    },
    "fields": {
        "@timestamp": [
            1466095224284
        ]
    },
    "sort": [
        1466095224284
    ]
}