Kibana查询以获取发生次数_Kibana

Kibana查询以获取发生次数

kibana

Kibana查询以获取发生次数,kibana,Kibana,抱歉，如果问题很简单，因为我是弹性搜索和Kibana新手我有以下JSON格式的数据 host.name 123 message abcd host.name 567 message abcd host.name 123 message mno host.name 123 message abcd 现在，我正在使用命令（消息：“abcd”）进行搜索，然后手动捕获详细信息但我想得到主机名方面的出现次数像您可以

抱歉，如果问题很简单，因为我是弹性搜索和Kibana新手

我有以下JSON格式的数据

host.name       123
message     abcd
host.name       567
message     abcd 
host.name       123
message     mno
host.name       123
message     abcd

现在，我正在使用命令

（消息：“abcd”）

进行搜索，然后手动捕获详细信息

但我想得到主机名方面的出现次数

像

您可以利用Kibana开发工具直接查询ES索引

转到Kibana->DevTools

GET indexName/_search
{
  "size": 0,
  "aggs": {
    "NAME": {
      "filter": {
        "term": {
          "message": "abcd"
        }
      }, 
      "terms": {
        "field": "host.name",
        "size": 10
      }
    }
  }
}

将“indexName”替换为索引的名称

以上查询将：

a）首先筛选术语为“abcd”的文档

b）根据主机聚合/存储过滤后的数据

您可以轻松地使用可视化

创建表格可视化选择：

指标：计数
bucket:terms=>message（.keyword，如果需要）
bucket:host.name

你应该得到你需要的结果

专业提示：

您可以将表格可视化导出为csv：

通过单击可视化顶部的“检查”，您可以查看Kibana创建的生成请求以节省时间：

它在字段消息上给出了错误：“原因”：“没有[query]注册为[message]，“@user2854333:你能分享你正在使用的查询吗？GET-applog-123-prd-2020.07-v1//u search{“size”：0，“aggs”：{“NAME”：{“filter”：{“message”：{“field”：“scam.gen”}，“terms”：{”字段“：”host.name“，”size“：”10}}}}}尝试获取applog-123-prd-2020.07-v1//u搜索{”size:”0，“aggs:{”name:{”filter:{”term:{”term:{“message:”scam.gen“}”，terms:{“field:”host.name“，”size:”10}}}我还更新了查询

GET indexName/_search
{
  "size": 0,
  "aggs": {
    "NAME": {
      "filter": {
        "term": {
          "message": "abcd"
        }
      }, 
      "terms": {
        "field": "host.name",
        "size": 10
      }
    }
  }
}