在后台运行搜索会话
Elastic Stack Serverless
搜索会话已被弃用。它们默认处于禁用状态,并将在未来版本中删除。您可以通过在 kibana.yml 配置文件中将 data.search.sessions.enabled 设置为 true 来再次启用搜索会话。
有时,您可能需要搜索大量数据,无论搜索需要多长时间。考虑一个威胁搜寻场景,您需要搜索多年的数据。您可以保存一个长时间运行的搜索,以便 Kibana 在后台处理您的请求,您可以继续您的工作。
从 Discover 或 Dashboard 保存您的搜索会话,并在会话完成后,在 Stack Management 中查看和管理它。 搜索会话默认启用。
- 要保存会话,您必须具有 Discover 和 Dashboard 的权限,以及 搜索会话子功能。
- 要查看和恢复已保存的会话,您必须有权访问 Stack Management。
您正尝试理解在仪表板上看到的趋势。 您需要查看几年的数据,目前位于冷存储中,但您没有时间等待。 您希望 Kibana 在后台继续工作,以便明天您可以打开浏览器并从上次离开的地方继续。
加载您的仪表板。 您的搜索会话自动开始。 仪表板标题后的图标显示搜索会话的当前状态。 时钟图标表示搜索会话正在进行中。 对勾标记表示搜索会话已完成。
要在后台继续搜索,请单击时钟图标,然后单击 保存会话。
保存搜索会话后,您可以开始新的搜索,导航到其他应用程序,或关闭浏览器。
要查看已保存的搜索会话,请使用导航菜单或全局搜索字段转到 Search Sessions 管理页面。 对于已保存或完成的会话,您也可以从搜索会话弹出窗口打开此视图。
使用 Search Sessions 中的编辑菜单可以
- 检查构成会话的查询和过滤器。
- 编辑会话的名称。
- 延长已完成会话的过期时间。
- 删除会话。
要恢复搜索会话,请在 Search Sessions 视图中单击其名称。
您将返回到启动搜索会话的地方。 数据是相同的,但行为不同
- 相对日期转换为绝对日期。
- 地图的平移和缩放被禁用。
- 更改过滤器、查询或向下钻取会启动新的搜索会话,这可能会很慢。
某些可视化功能不完全支持后台搜索会话。 当您恢复仪表板时,具有不支持功能的面板不会立即加载,而是会发出额外的数据请求,这可能需要一段时间才能完成。 将出现 您的搜索会话仍在运行 警告。 您可以等待这些额外请求完成,也可以稍后返回仪表板,直到所有数据请求都已完成。
如果使用以下功能之一,仪表板上的面板可能会出现这种情况
Lens
- 启用了 将其他值分组为“其他” 设置的 顶部值 维度。 这可以在维度的 高级 部分中配置。
- 间隔 维度。
基于聚合 的可视化
- 启用了 在单独的存储桶中对其他值进行分组 设置的 术语 聚合。
- 直方图 聚合。
地图
- 使用连接、混合层或轨迹层的图层。