Как использовать Kibana и elasticsearch [7.5.0] для отслеживания количества документов, содержащих определенное значение

У меня есть индекс, который содержит информацию о некоторых объектах. Я хочу отобразить некоторую информацию на панели инструментов Kibana. Предположим, что объект выглядит следующим образом:

 {
  "_index": "obj",
  "_type": "_doc",
  "_id": "KwDPAHABfo5V345r4IYV",
  "_version": 1,
  "_score": 0,
  "_source": {
    "value_1": "some value",
    "value_2": "some_other value",
    "owner": "jason",
    "modified_date": "2020-02-01T12:53:08.210317+00:00",
    "created_date": "2020-02-01T12:53:08.243980+00:00"
   }
 }

Мне нужно показать (живое) количество объектов, у которых есть owner: 'UNKNOWN'. Дело в том, что это значение меняется во времени. Каждое изменение — это новый документ — они не обновляются. Мне нужно отслеживать, сколько НЕИЗВЕСТНЫХ владельцев я вижу в настоящее время. Обновления (новые документы) отправляются лосю через фиксированные промежутки времени. Когда пытаюсь настроить метрику, то иногда показывает 0, во время окна между одним обновлением и другим - когда в элк не текут документы. Как заставить Kibana отображать только последние документы с owner: 'UNKNOWN'?


kibana kibana-7 elasticsearch
person Kraxi    schedule 01.02.2020    source источник
comment
Был ли у вас успех с моим предложенным подходом? Пожалуйста, дайте мне отзыв.   -  person apt-get_install_skill    schedule 02.04.2020

Ответы (1)


arrow_upward
1
arrow_downward

Как я могу заставить Kibana отображать только последние документы с владельцем: «НЕИЗВЕСТНО»?

Вы можете настроить визуализацию таблицы данных для этого в качестве альтернативы визуализации одномерной метрики.

Вот как я лично настроил бы таблицу данных:

  • Установите фильтр с «владелец (.ключевое слово) НЕИЗВЕСТЕН».
  • Используйте метрику Top Hit в поле created_date (или @timestamp, это на ваше усмотрение) вместо метрики count.
  • Установите порядок по убыванию на основе поля метки времени.
  • Разделите строки (объединения терминов) для каждого поля, которое вы хотите отобразить в строках. Это создаст «столбцы» в вашей таблице.
  • Перейдите на вкладку параметров и включите подсчет суммы всех строк.
  • Установите соответствующий временной интервал, например. последний 1 час.

Это отобразит все соответствующие данные ваших документов, у которых владелец поля равен НЕИЗВЕСТНО. Кроме того, вы видите временную метку даты приема/создания этих документов в порядке убывания. Кроме того, вы видите количество совпадающих документов (настраивается на вкладке параметров, как описано выше).

Я надеюсь, что смог помочь вам.

person apt-get_install_skill    schedule 01.02.2020