0

我已经为带有一些分支和这些分支上的一些工作的几个组件构建了系统。事件的典型 JSON 看起来或多或少是这样的(我删除了不相关的信息):

{
  "_index": "logstash-2015.04.08",
  "_type": "time",
  "_id": "AUyeQ2u19d6vbBbSmlDE",
  "_score": null,
  "_source": {
    "@timestamp": "2015-04-08T02:34:17.000Z",
    "column6": "component1",
    "column7": "trunk",
    "column8": "['x86', 'UT']",
    "column10": 500
  },
  "fields": {
    "@timestamp": [
      1428460457000
    ]
  },
  "sort": [
    1428460457000
  ]
}

我想根据以下查询构建面积图:一个特定的分支(column7)和一个特定的组件(column6)。每种工作类型(第 8 列)都会对第 10 列中的值做出贡献。怎么做?

4

1 回答 1

1

首先创建一个以 Y 轴为总和、平均值、最小值或最大值的面积图column10

接下来在 X 轴上,在@timestamp字段上创建一个日期直方图。

添加子聚合,该子聚合是split area具有 atermsfilter子聚合的聚合。如果您选择terms,请选择字段column6以及要查看的值的数量。

如果您选择filter聚合,您可以输入任意数量的过滤器(因此您不必依赖条款)。例如,如果您只想查看column6. 你可以放一个过滤器column6:component1和另一个过滤器column6:component2

于 2015-04-15T13:00:32.573 回答