创建数据视图

编辑

Kibana 需要一个数据视图才能访问您想要浏览的 Elasticsearch 数据。数据视图可以指向一个或多个索引、数据流索引别名。例如,数据视图可以指向您昨天的日志数据,或包含您所有数据的索引。

所需权限

编辑
  • 访问 数据视图 需要 Kibana 权限 数据视图管理
  • 要创建数据视图,您必须拥有 Elasticsearch 权限 view_index_metadata
  • 如果 Kibana 中出现只读指示器,则您没有足够的权限来创建或保存数据视图。此外,创建数据视图或保存现有数据视图的按钮不可见。有关更多信息,请参阅授予 Kibana 的访问权限

创建数据视图

编辑

如果您使用 Kibana 的摄取选项之一收集数据、上传文件或添加示例数据,您将免费获得一个数据视图,并且可以开始浏览您的数据。如果您加载了自己的数据,请按照以下步骤创建数据视图。

  1. 打开 LensDiscover,然后打开数据视图菜单。

    How to set the data view in Discover
  2. 单击 创建数据视图
  3. 为您的数据视图命名。
  4. 索引模式 字段中开始键入,Kibana 将查找与您的输入匹配的索引、数据流和别名的名称。您可以查看所有可用源,或仅查看数据视图所针对的源。

    Create data view

    • 要匹配多个源,请使用通配符 (*)。 filebeat-* 匹配 filebeat-apache-afilebeat-apache-b 等。
    • 要匹配多个单一源,请输入它们的名称,用逗号分隔。逗号后不要包含空格。 filebeat-a,filebeat-b 匹配两个索引。
    • 要排除一个源,请使用减号 (-),例如,-test3
  5. 打开 时间戳字段 下拉菜单,然后选择按时间过滤数据的默认字段。

    • 如果您未设置默认时间字段,则无法在仪表板上使用全局时间过滤器。如果您有多个时间字段,并且想要创建基于不同时间戳组合可视化的仪表板,这将很有用。
    • 如果您的索引没有基于时间的数据,请选择 我不想使用时间过滤器
  6. 单击 显示高级设置

    • 显示隐藏的索引和系统索引。
    • 指定您自己的数据视图名称。例如,输入您的 Elasticsearch 索引别名。
  7. 单击 将数据视图保存到 Kibana

    您可以从 堆栈管理 中管理您的数据视图。

创建临时数据视图

编辑

想要浏览您的数据或创建可视化,而无需将其保存为数据视图?在 DiscoverLens 中的 创建数据视图 表单中选择 不保存使用。使用临时数据视图,您可以添加字段并创建 Elasticsearch 查询警报,就像您使用常规数据视图一样。您的工作对您空间中的其他人不可见。

临时数据视图将保留在您的空间中,直到您更改应用程序或将其保存为止。

how to create an ad-hoc data view

临时数据视图在 堆栈管理 中不可用。

使用具有汇总数据的数据视图

编辑

在 8.11.0 中已弃用。

汇总已被弃用,将在未来版本中删除。请改用下采样

数据视图可以匹配一个汇总索引。对于包含原始数据和汇总数据的组合汇总数据视图,请使用标准表示法

rollup_logstash,kibana_sample_data_logs

例如,请参阅创建并可视化汇总数据

将数据视图与跨集群搜索一起使用

编辑

如果您的 Elasticsearch 集群配置为跨集群搜索,则您可以创建一个数据视图来跨您选择的集群进行搜索。使用以下语法指定远程集群中的数据流、索引和别名

<remote_cluster_name>:<target>

要查询在您为跨集群搜索设置的两个 Elasticsearch 集群(名为 cluster_onecluster_two)中的 Logstash 索引

 cluster_one:logstash-*,cluster_two:logstash-*

在集群名称中使用通配符以匹配任意数量的集群。要搜索名为 cluster_foocluster_bar 等的集群中的 Logstash 索引

cluster_*:logstash-*

要查询所有已配置为跨集群搜索的 Elasticsearch 集群,请为您的集群名称使用独立的通配符

*:logstash-*

要匹配以 logstash- 开头的索引,但排除所有集群中以 cluster_ 开头的名称中以 logstash-old 开头的索引

cluster_*:logstash-*,cluster_*:-logstash-old*

排除集群可以避免向该集群发送任何网络调用。要排除名为 cluster_one 的集群

cluster_*:logstash-*,-cluster_one:*

将数据视图配置为使用跨集群搜索语法后,Kibana 中使用该数据视图的所有搜索和聚合都将利用跨集群搜索。

有关更多信息,请参阅从跨集群搜索中排除集群或索引

删除数据视图

编辑

删除数据视图时,您无法恢复关联的字段格式化程序、运行时字段、源过滤器和字段受欢迎度数据。删除数据视图不会从 Elasticsearch 中删除任何索引或数据文档。

删除数据视图会破坏引用该数据视图的所有可视化、保存的搜索和其他保存的对象。

  1. 使用导航菜单或全局搜索字段转到 数据视图 管理页面。
  2. 找到要删除的数据视图,然后单击 删除图标 操作 列。

数据视图字段缓存

编辑

浏览器会缓存数据视图字段列表以提高性能。对于具有大量字段计数且跨越大量索引和集群的数据视图,这一点尤其重要。字段列表在典型的 Kibana 使用中每隔几分钟更新一次。或者,使用数据视图管理详细信息页面上的刷新按钮来获取更新的字段列表。强制重新加载 Kibana 具有相同的效果。

字段列表可能会受到索引和用户权限更改的影响。