0

我有一个索引,其中包含有关某些对象的信息。我想在我的 Kibana 仪表板上显示一些信息。让我们假设一个对象如下所示:

 {
  "_index": "obj",
  "_type": "_doc",
  "_id": "KwDPAHABfo5V345r4IYV",
  "_version": 1,
  "_score": 0,
  "_source": {
    "value_1": "some value",
    "value_2": "some_other value",
    "owner": "jason",
    "modified_date": "2020-02-01T12:53:08.210317+00:00",
    "created_date": "2020-02-01T12:53:08.243980+00:00"
   }
 }

我需要显示(实时)具有owner: 'UNKNOWN'. 问题是,这个值会随时间变化。每个更改都是一个新文档 - 它们没有被更新。我需要跟踪我目前看到的 UNKNOWN 所有者的数量。更新(新文档)以固定的时间间隔发送给 elk。当我尝试设置一个指标时,它有时会在一次更新和另一次更新之间的窗口中显示 0 - 当没有文档流入 elk 时。如何使 Kibana 仅显示最后一个文档owner: 'UNKNOWN'

4

1 回答 1

1

如何让 Kibana 仅显示所有者的最后一个文档:'UNKNOWN'?

您可以为此设置数据表可视化,以替代一维度量可视化。

这是我个人配置数据表的方式:

  • 使用 'owner(.keyword) is UNKNOWN' 设置过滤器。
  • 在 created_date 字段(或@timestamp,这取决于您)上使用指标“Top Hit”而不是计数指标。
  • 根据时间戳字段将顺序设置为降序。
  • 为要在行中显示的每个字段拆分行(术语聚合)。这将在您的表格中创建“列”。
  • 转到选项选项卡并启用对所有行总和的计数。
  • 设置适当的时间间隔,例如最后 1 小时。

这将显示字段所有者等于 UNKNOWN 的文档的所有相关数据。此外,您可以按降序查看这些文档的摄取/创建日期时间戳。此外,您会看到匹配的文档数量(通过上述选项选项卡配置)。

我希望我能帮助你。

于 2020-02-01T16:28:31.070 回答