Kibana 4 и фильтр относительного времени / ввод json

В настоящее время я пытаюсь создать панель управления Kibana с информацией о пользователях в реальном времени (текущее количество пользователей, где они работают и т. Д.), И у меня возникают проблемы с ограничением визуализации по времени.

Я пробовал в фильтре

@timestamp:[now-6M/M TO now]

и в поле ввода json

{
    "range" : {
         "@timestamp" : {
             "gte": "now-6d",
             "lte": "now" 
         }
     }
 }

введите здесь описание изображения

Однако это не работает, и я получаю следующую ошибку.

У меня это работало раньше, хотя разные версии Elasticseach1.6 + и Kibana4

Я попытался включить Groovy-скрипты, добавив

script.disable_dynamic: false

в файл yml, однако, похоже, это не проблема. Любые подсказки или относительные временные диапазоны больше не возможны?

Ошибка:

Использование Kibana 4.1.1 и Elasticsearch 1.7 в Windows 2012r2, jre 1.8.0.31

Вы можете использовать фильтр временного диапазона, например:


kibana-4
person jaspernygaard    schedule 18.08.2015    source источник

Ответы (2)


arrow_upward
2
arrow_downward

получить данные за последние 6 месяцев.

timestamp:[now-6M/M TO now]

Когда вы видите 

timestamp:[now-6M/M TO now]
, это означает, что с синтаксисом вашего запроса что-то не так. Вот так это выглядит:

person ppushkar    schedule 06.01.2016

arrow_upward
1
arrow_downward

Проблема заключается в вашей cardinality агрегации, где у вас не может быть range подобного. Почти наверняка вы не вводите свой range в правильное поле JSON.

{
  "size": 0,
  "query": {
    "filtered": {
      "query": {
        "query_string": {
          "query": "",
          "analyze_wildcard": true
        }
      },
      "filter": {
        "bool": {
          "must": [
            {
              "range": {
                "@timestamp": {
                  "gte": 1437289456709,
                  "lte": 1439881456710
                }
              }
            }
          ],
          "must_not": []
        }
      }
    }
  },
  "aggs": {
    "1": {
      "cardinality": {
        "field": "fields.UserName.raw",
        "range": {                         <------ HERE is the problem
          "timestamp": {
            "gte": "now-6d",
            "lte": "now"
          }
        }
      }
    }
  }
}

Почему бы вам просто не использовать вместо этого встроенный временной фильтр, вы можете добиться именно того, чего хотите. Выберите «Относительно», а затем «6 дней назад» до СЕЙЧАС, и все готово.

введите здесь описание изображения

Визуализация, которую я создаю, представляет собой метрику, содержащую текущее количество активных пользователей, определенное пользователями в журналах за последние 10 минут (Unique Count). Содержащая панель инструментов будет содержать такую ​​статистику в реальном времени (ограничение по времени на визуализацию), а также статистику, в которой пользователь может использовать встроенный фильтр времени (например, будут некоторые счетчики для дня, недели и т. Д.). Поэтому я не могу полагаться исключительно на фильтр времени сборки, но мне нужно ограничить визуализацию.

person Val    schedule 18.08.2015
comment
Я понимаю, но трудно сказать, не видя вашей визуализации / конфигурации. Все, что я могу сказать, это то, что ваш _1_ вставлен не в то место. если чем еще вы можете поделиться (скриншоты и т. д.), добро пожаловать. - person jaspernygaard; 18.08.2015
comment
Я добавил скриншот визуализации - person Val; 18.08.2015
comment
Хорошо спасибо. Затем вы можете попытаться сначала создать агрегирование _1_, вставить ограничение _2_ в поле JSON, а затем добавить текущее агрегирование показателей в качестве субагрегации агрегирования _3_. - person jaspernygaard; 18.08.2015
comment
Спасибо за помощь - я не уверен, что понимаю ваш подход (новый для Elasticsearch / Kibana) - это возможно в Kibana или это запрос Elasticsearch? - person Val; 18.08.2015
comment
Ошибка: запрос на Elasticsearch завершился неудачно: {"error": "SearchPhaseExecutionException [Не удалось выполнить этап [запрос], все сегменты завершились неудачно; shardFailures {[bzqrC3gbSPi7fp0OWh81VQ] [logstash-2015.02.14] [0]: SearchParseException [[logstash-2015.02. 14] [0]: query [ConstantScore (BooleanFilter (+ cache (@timestamp: [1437289456709 TO 1439881456710])))], от [-1], размер [0]: Ошибка синтаксического анализа [Не удалось проанализировать источник [{\ " размер \ ": 0, \" запрос \ ": {\" отфильтрованный \ ": {\" запрос \ ": {\" строка_запроса \ ": {\" запрос \ ": \" \ ", \" analysis_wildcard \ ": true}}, \" filter \ ": {\" bool \ ": {\" must \ ": [{\" range \ ": {\" @ timestamp \ ": {\" gte \ " : 1437289456709, \ "lte \": 1439881456710}}], \ "must_not \": []}}}}, \ "aggs \": {\ "1 \": {\ "мощность \": {\ "field \": \ "fields.UserName.raw \", \ "range \": {\ "timestamp \": {\ "gte \": \ "now-6d \", \ "lte \": \ "сейчас \"}}}}}]]]; вложено: SearchParseException [[logstash-2015.02.14] [0]: запрос [ConstantScore (BooleanFilter (+ cache (@timestamp: [1437289456709 TO 1439881456710])))] , от [-1], размер [0]: Ошибка синтаксического анализа [Неожиданный токен START_OBJECT в 1.]]; } {[bzqrC3gbSPi7fp0OWh81VQ] [logstash-2015.02.15] [0]: SearchParseException [[logstash-2015.02.15] [0]: запрос [ConstantScore (BooleanFilter (+ cache (@timestamp: [1437289456709 TO 1439881456710])) , от [-1], размер [0]: Ошибка синтаксического анализа [Не удалось проанализировать источник [{\ "размер \": 0, \ "запрос \": {\ "отфильтрованный \": {\ "запрос \": { \ "query_string \": {\ "query \": \ " \", \ "analysis_wildcard \": true}}, \ "filter \": {\ "bool \": {\ "must \ ": ................................................ ..... в http://kibana:5601/index.js?_b=7489:43092:38 в Function.Promise.try (http://kibana:5601/index.js?_b=7489:46434:26) в http://kibana:5601/index.js?_b=7489:46412:27 в Array.map (native) в Function.Promise.map (http://кибана:5601/index.js?_b=7489:46411:30) в callResponseHandlers (http://kibana:5601/index.js?_b=7489:43064:22) в http://kibana:5601/index.js?_b=7489:43182:16 в wrappedCallback (http://kibana:5601/index.js?_b=7489:20893:81) at wrappedCallback (http://kibana:5601/index.js?_b=7489:20893:81) в http://kibana:5601/index.js?_b=7489:20979:26 - person jaspernygaard; 18.08.2015