- elasticsearch/
elasticsearch 在Kibana4中同时查询两个索引?
elasticsearch 在Kibana4中同时查询两个索引?
每当我创建可视化时,Kibana4都会要求我选择用于搜索的索引。我的项目需要搜索存在于多个索引中的数据,因此我被卡住了。我希望为我的数据搜索两个索引,然后将它们可视化。任何帮助都是有价值的。我不确定自己是否理解正确,但我认为最好的选择是分别在两个索引上创建可视化,并构建一个包含两个可视化的仪表板
Kibana无法通过从两个单独的索引进行搜索来显示单个可视化效果。感谢所有的帮助,但我找到了一种方法来实现这一点。
在Kibana4的索引模式中,创建一个作为_all的索引模式。此索引模式包含elasticsearch中存在的所有索引。因此,当您创建一个新的可视化时,只需在那里选择“所有索引”模式,elasticsearch中所有索引的所有数据字段都可以访问,您可以轻松使用它创建可视化。如果我正确理解您的要求,那么这可能取决于您如何命名索引 通过选择我的模式“logstash-*”,我可以查询多个logstash索引。当您设置索引时,它为您提供了指定模式的选项 (设置=>索引=>索引模式=>添加新内容)
我希望这有帮助 Kibana可以从多个索引创建可视化。但是索引应该具有相似的名称,或者别名具有相似的名称,例如,您可以简单地使用掩码从索引中获取数据:logstash-2015-01-01和logstash-2015-01-02
但是是的,如果我们可以编写类似index1的东西,在另一个索引上写两个通配符(即
*-*POST _aliases
{
"actions" : [
{ "add" : { "index" : "test1", "alias" : "alias1" } },
{ "add" : { "index" : "test2", "alias" : "alias1" } }
]
}
curl -XPOST 'http://localhost:9200/_aliases' -d '
{
"actions" : [
{ "add" : { "index" : "test1", "alias" : "alias1" } },
{ "add" : { "index" : "test2", "alias" : "alias1" } }
]
}'
有关别名的更多信息,请参见这是Kibana 4,在Kibana 3中,我们成功地用逗号指定了两个索引模式。这一点在2017年问题:您是否采用了这种方法?如果是,您的数据集有多大?我也面临着类似的问题,但我担心随着数据的增长,查询所有索引可能会影响性能。别名也是正确的方法,我们正在这样做:)我为两个索引创建了一个别名,但discover不会显示两个索引中的字段。它仍然只显示我搜索的字段所在索引中的行,如果我把两个索引中的字段都放在空白行中,我只发现
*nginx-*logstash-**-*