问题标签 [timelion]

因此，在 timelion 中，您可以执行以下操作：.es('user="bob"').divide(.es())

我想应用一个基本过滤器，有没有一种方法可以在不复制过滤器的情况下做到这一点： .es('user="bob" AND type="singer"').divide(.es(type="singer"))

谢谢

我有一个用于监控应用程序性能的 ELK 堆栈。应用程序创建格式的文档

其中成功和失败是一段时间内的各自指标。

我使用 timelion 通过查询来可视化这些应用程序的性能：

但是，由于应用程序数量巨大，因此很难查看，从而导致图表非常密集。

我一直在寻找一种将查询“链接”在一起的解决方案，以便我能够说，如果至少有 1 个文档的成功值为 0，则在一段时间内按 name.keyword 过滤。

大多数资源说，为了预过滤数据，我应该添加一个额外的属性来过滤，但我认为这与这种情况无关。

尝试使用 Timelion 创建可视化时，我不断收到此错误消息：[timelion_vis] > 错误：在单元格 #1：[search_phase_execution_exception]

这是完整的消息，没有提供更多信息。

我最近做了一个关于使用 ELK-Stack 访问日志分析的项目。我设置了 Logstash 并将我们的 Apache 访问日志提供给 Elasticsearch，并在 Kibana 中创建了一些可视化。Timelion 尤其有用，我有一堆完美运行的查询 - 在 Kibana 5.2 中，我需要用于项目的版本。

现在，我们使用 Logstash、Elasticsearch 和 Kibana 的当前版本 (7.3) 在实时服务器上进行了所有设置。我对我的可视化进行了调整以适应当前版本，但是我在设置 Timelion 时遇到了问题。

我们在日志中也找不到更多帮助，那里什么也没有。没有提示可能出了什么问题。？

即使使用 .es(*) 我也会收到错误消息。使用我的旧查询我得到了同样的错误，我检查了我的语法，这很好。

但是，如果我输入 .es(index=logstash-*, timefield='@timestamp', metric='avg:size') 我会得到一个结果。

size-field 包含一个数值。我所有的其他查询都引用了带有字符串值的字段。所以这似乎有问题，我无法落后。

有任何想法吗？以前有没有其他人遇到过这个错误？

这是 Kibana 日志中出现的内容：

我在 kibana 中有一些日志，并带有此消息：

我如何创建一个显示平均值的 timelion 图表ElapsedTime？

我有一个索引，每 30 秒输出对象和该对象的状态。对象的数量每 30 秒保持不变，但它们的状态可以改变。我正在尝试使用特定状态下对象计数的 timelion 生成图表。

当我的时间间隔小于 30 秒时，这可以正常工作，但是一旦它们开始组合在一起，我就会得到两倍（或更多）的项目计数。所以我试图在每个间隔内获得给定状态的最大项目数。我不确定这是否可能在 timelion 中实现。

t = 0：object1 = A，object2 = A，object3 = B，object4=A（因此处于状态 A 的对象将为 3） t = 30：object1 = A，object2 = B，object3 = B，object4=A（objects在 A 中为 2) t = 60: object1 = A, object2 = B, object3 = B, object4=A (A 中的对象为 2) t = 90: object1 = B, object2 = B, object3 = B, object4 =A（A 中的对象为 1）

使用上面的设置，我会在第一次发布时获得 3 个计数，然后是 2，然后是 2，然后是 1。如果我以 1m 间隔绘制一个计数，它将计数 5 (3 + 2)，然后是 3 ( 2 + 1)，但我想要在那一小时内发布的最大值，所以我想要 3，然后是 2。

有什么办法可以在 timelion 中做到这一点？

所以我有一个包含大量数据的弹性搜索索引，我发现一些我想可视化的数据存在问题。在itm.description字段下匹配的索引中的某些项目例如FOO有两个时间戳条目，称为itm.timestamp和itm.jmsTimestamp。

这两个领域在几天前非常接近时开始出现相当大的分歧。两者之间正在进行一些 ActiveMQ 处理，因此这似乎是可能的原因，但我想可视化它何时开始以及过去几天在 Kibana 中使用 timelion 的漂移情况。

很明显，这个查询并不是特别有用，因为它产生了两条平线。我需要什么来生成一个图表来显示使用 timelion 的两个时间戳之间的漂移差异？是否可以显示重叠的两个时间戳或绘制漂移图更有用？

我正在编写一个 Timelion 表达式，仅当指定的键为 TRUE 时我才想在其中绘制。

如何添加 APM.CREDIT_CARD.REQUESTED 为 TRUE 的过滤器

我正在设置一个图表以使用 ELK 堆栈 7.7.0 显示 Cisco Netflow 9 数据。来自路由器的数据到达 logstash，然后到达 ElasticSearch，最后到达 Kibana。

在 Kibana 中，我使用 Timelion 在路由器接口上绘制传入字节图形。为此，我创建了索引 cisconetflow 并选择了“in_bytes”字段进行绘图。Timelion 表达式如下所示：

但是，一旦我按下更新和刷新按钮，我没有收到任何错误，但没有任何反应，图表中不会显示任何数据：

如果我只在 Timelion 表达式中包含索引，它会显示一些命中：

同时，我在 logstash 上运行调试，我看到 Netfrow 数据存在：

在 Kibana 发现仪表板上也是如此，我看到 netflow 数据进入并且 netflowin_bytes 字段显示为可用。

那么，关于我在图表中获取数据所缺少的任何线索？

谢谢。

在我调用 .es() 并像 .es(index="build*" split=buildName.keyword) 这样按 buildName 拆分后，有没有办法计算不同 buildName 的总数？谢谢！

假设我在卖水果。我想看看我每天销售的最畅销水果的百分比。

在我的索引中的每个文档中，都有一个fruit字段（橙色、苹果、香蕉...）和event_type字段（new_in_store、sold_to_costomer）和timestamp字段。

我想做的是： es(split=fruit:5, query:event_type:"sold_to_customer"the first).divide(.es(split:fruits:5)).yaxis(1, units=percent)

但后来我得到了一个例外，即划分桶以匹配第一个查询桶。

那么如何将存储桶与第一个查询分开来传递给查询呢？