› › ›

旧版编辑器

编辑

旧版编辑器

编辑

基于聚合

编辑

基于聚合的可视化是 Kibana 的核心面板，并非针对特定用例进行优化。

使用基于聚合的可视化，您可以：

将图表最多分割为三个聚合级别，这比 Lens 和 TSVB 要多。
使用非时间序列数据创建可视化。
使用已保存的搜索作为输入。
对数据表进行排序并使用汇总行和百分比列功能。
为数据系列分配颜色。
使用插件扩展功能。

基于聚合的可视化包括以下限制：

有限的样式选项。
不支持数学运算。
不支持多个索引。

基于聚合的可视化类型

编辑

Kibana 支持以下类型的基于聚合的可视化。

面积图显示数据点，并用线连接，其中线和轴之间的区域被着色。使用面积图来比较两个或多个类别随时间的变化，并显示趋势的幅度。
数据表以表格格式显示您的聚合结果。使用数据表显示服务器配置详细信息、跟踪特定字段的计数、最小值或最大值，并监视关键服务的状态。
仪表盘沿比例显示您的数据，该比例会根据您的数据在预期比例上的位置更改颜色。使用仪表盘来显示指标值与参考阈值值的关系，或确定指定字段的性能与预期性能的对比情况。
目标显示您的指标如何朝着固定目标前进。使用目标来显示您的目标进度状态的易于阅读的视觉效果。
热图显示数据的图形表示，其中各个值用颜色表示。当您的数据集包含分类数据时，使用热图。例如，使用热图查看使用示例航班数据时，始发国与目的地国之间的航班情况。
水平条形图并排显示条形图，其中每个条形图代表一个类别。使用条形图来比较大量类别的数据，显示包含负值的类别的数据，并轻松识别代表最高和最低值的类别。Kibana 还支持垂直条形图。
折线图显示由线连接的数据点。使用折线图来可视化一系列值、发现随时间变化的趋势以及预测未来的值。
指标显示聚合的单个数值。当您有一个足以说明您的数据故事的数值时，请使用指标可视化。
饼图显示代表数据类别的切片，其中切片大小与其所代表的数量成比例。使用饼图来显示多个类别之间的比较、说明一个类别相对于其他类别的优势以及显示百分比或比例数据。
标签云图形表示一个词在源文本中出现的频率。使用标签云来轻松生成大型文档的摘要并为特定主题创建视觉艺术。

创建基于聚合的可视化面板

编辑

选择您要创建的可视化类型，然后使用编辑器配置选项。

在仪表板上，单击 所有类型 > 基于聚合。
1. 选择您要创建的可视化类型。
2. 选择要可视化的数据源。
  
  您选择的数据源不会对性能产生影响。例如，Discover 已保存的搜索与数据视图的执行方式相同。
使用编辑器添加您想要可视化的聚合，然后单击更新。

为了使 日期直方图 使用 自动间隔，日期字段必须与数据视图的主时间字段匹配。
要更改顺序，请在编辑器中拖放聚合。
要自定义系列颜色，请单击图例中的系列，然后选择要使用的颜色。

尝试一下：创建基于聚合的条形图

编辑

您从 Web 服务器收集了数据，并且您希望在仪表板上可视化和分析数据。要创建数据的仪表板面板，请创建一个条形图，以每三小时显示前五个日志流量来源。

添加数据并创建仪表板

编辑

添加您将用于创建条形图的示例 Web 日志数据，然后创建仪表板。

安装 Web 日志示例数据集.
转到 仪表板。
在 仪表板 页面上，单击 创建仪表板。

打开并设置基于聚合的条形图

编辑

打开 基于聚合 的编辑器并更改时间范围。

在仪表板上，单击 所有类型 > 基于聚合，选择 垂直条形图，然后选择 Kibana 示例数据日志。
确保时间过滤器为 最近 7 天。

创建条形图

编辑

要创建条形图，请添加一个存储桶聚合，然后添加项子聚合以显示最高值。

添加一个 存储桶 聚合。
1. 单击添加，然后选择 X 轴。
2. 从聚合下拉列表中，选择 日期直方图。
3. 单击更新。
要显示前五个日志流量来源，请添加一个子存储桶聚合。
1. 单击添加，然后选择 分割系列。
  
  基于聚合的面板最多支持三个 分割系列。
2. 从 子聚合 下拉列表中，选择项。
3. 从字段下拉列表中，选择 geo.src。
4. 单击更新。

在 Lens 中打开并编辑基于聚合的可视化

编辑

当您在 Lens 中打开基于聚合的可视化时，所有配置选项都会显示在 Lens 可视化编辑器中。

您可以在 Lens 中打开以下基于聚合的可视化

面积图
数据表
仪表盘
目标
热图
水平条形图
折线图
指标
饼图
垂直条形图

要开始使用，请单击工具栏中的 在 Lens 中编辑可视化。

有关更多信息，请查看使用 Lens 创建可视化。

保存并添加面板

编辑

将面板保存到 可视化库 并将其添加到仪表板，或者将其添加到仪表板而不保存。

要将面板保存到 可视化库

单击 保存到库。
输入标题并添加任何适用的标签。
确保已选中 保存后添加到仪表板。
单击 保存并返回。

要将面板保存到仪表板

单击 保存并返回。
向面板添加一个可选标题。
1. 在面板标题中，单击 无标题。
2. 在 面板设置 窗口中，选择 显示标题。
3. 输入标题，然后单击保存。

TSVB

编辑

TSVB 是一组您在仪表板上配置和显示的可视化类型。

使用 TSVB，您可以：

组合无数个聚合来显示您的数据。
使用来自 Elasticsearch 索引的带有时间戳的事件来注释时间序列数据。
在多种类型的可视化中查看数据，包括图表、数据表和 Markdown 面板。
在每个可视化中显示多个数据视图。
对聚合使用自定义函数和一些数学运算。
使用标签和颜色自定义数据。

打开并设置 TSVB

编辑

打开 TSVB，然后配置所需的设置。您可以使用仅包含数据视图或 Elasticsearch 索引字符串来创建 TSVB 可视化。

当您仅使用数据视图时，您可以：

使用运行时字段创建可视化
添加 URL 钻取
为时间序列可视化添加交互式过滤器
提高性能

使用 Elasticsearch 索引字符串创建 TSVB 可视化已被弃用，并将在未来的版本中移除。默认情况下，您仅使用数据视图创建 TSVB 可视化。要使用 Elasticsearch 索引字符串，请联系您的管理员，或转到高级设置，并将 metrics:allowStringIndices 设置为 true。

在仪表板上，单击选择类型，然后选择TSVB。
在TSVB中，单击面板选项，然后指定数据设置。
打开数据视图模式选项，它位于数据视图下拉菜单旁边。
选择仅使用 Kibana 数据视图。
从数据视图下拉菜单中，选择数据视图，然后选择时间字段和间隔。
选择一个删除最后一个桶选项。

默认情况下，TSVB 会删除最后一个桶，因为时间过滤器与最后一个桶的时间范围相交。要查看部分数据，请选择否。
要查看经过筛选的文档集，请在面板过滤器字段中输入 KQL 过滤器。

配置序列

编辑

每个TSVB可视化共享相同的选项来创建序列。每个序列可以被视为一个单独的 Elasticsearch 聚合。选项控制样式和 Elasticsearch 选项，并从面板选项继承。当每个序列都有单独的选项时，您可以比较不同的 Elasticsearch 索引，并查看来自同一索引的两个时间范围。

要配置每个序列的值，请选择函数，然后配置函数输入。仅显示最后一个函数。

从聚合下拉菜单中，选择序列的函数。TSVB 为您提供了一些常用函数的快捷方式

过滤器比率

通过计算两组文档上的指标来返回百分比值。例如，计算错误率作为一段时间内整体事件的百分比。

计数器速率

用于处理单调递增的计数器。是最大值，导数和仅正数的快捷方式。

仅正数

从结果中删除任何负值，该值可用作导数后的后处理步骤。

序列聚合

将函数应用于所有分组依据序列，以将值减少为单个数字。此函数必须始终是序列中的最后一个指标。例如，如果时间序列可视化显示 10 个序列，则总和序列聚合会计算所有 10 个条的总和，并为每个 X 值输出一个 Y 值。这通常与整体总和函数混淆，后者为每个唯一序列输出一个 Y 值。

数学

对于每个序列，应用简单和高级计算。仅在序列的最后一个函数中使用数学。
要单独显示每个组，请从分组依据下拉菜单中选择以下选项之一
- 过滤器 — 将数据分组到指定的过滤器中。要区分组，请为每个过滤器分配颜色。
- 词条 — 显示字段的顶部值。颜色只能在时间序列图表中配置。要配置，请单击选项，然后从分割颜色主题下拉菜单中选择一个选项。
单击选项，然后为函数配置输入。例如，要使用其他字段格式，请从数据格式化程序下拉菜单中进行选择。

TSVB 可视化选项

编辑

每个TSVB可视化的配置选项都不同。

时间序列

编辑

默认情况下，y 轴显示数据的完整范围，包括零。要自动将 y 轴从数据的最小值缩放到最大值，请单击 数据 > 选项 > 填充，然后在填充字段中输入 0。您可以根据单独 Elasticsearch 索引中带有时间戳的文档将注释添加到 x 轴。

除时间序列之外的所有图表类型

编辑

面板选项中的数据时间范围模式下拉菜单控制TSVB用于匹配文档的时间跨度。最后一个值无法匹配所有文档，只能匹配特定间隔。整个时间范围匹配时间过滤器中指定的所有文档。

指标、前 N 个和仪表盘

编辑

面板选项中的颜色规则包含基于值的条件着色。

前 N 个和表格

编辑

当您单击一个序列时，TSVB 会应用基于序列名称的过滤器。要更改此行为，请单击面板选项，然后在项目 URL字段中指定 URL，该 URL 将打开 URL 而不是在单击时应用过滤器。

Markdown

编辑

Markdown可视化支持带有 Handlebar (mustache) 语法的 Markdown 来插入动态数据，并支持自定义 CSS。

在 Lens 中打开和编辑 TSVB 可视化

编辑

当您在Lens中打开TSVB可视化时，所有配置选项和注释都会显示在Lens可视化编辑器中。

您可以在Lens中打开以下TSVB可视化

时间序列
指标
前 N 个
仪表盘
表格

要开始使用，请单击工具栏中的 在 Lens 中编辑可视化。

有关更多信息，请查看使用 Lens 创建可视化。

查看可视化数据请求

编辑

查看收集可视化数据的请求。

在工具栏中，单击检查。
从请求下拉菜单中，选择要查看的序列。

保存并添加面板

编辑

将面板保存到 可视化库 并将其添加到仪表板，或者将其添加到仪表板而不保存。

要将面板保存到 可视化库

单击 保存到库。
输入标题并添加任何适用的标签。
确保已选中 保存后添加到仪表板。
单击 保存并返回。

要将面板保存到仪表板

单击 保存并返回。
向面板添加一个可选标题。
1. 在面板标题中，单击 无标题。
2. 在 面板设置 窗口中，选择 显示标题。
3. 输入标题，然后单击保存。

常见问题解答

编辑

有关常见TSVB问题的答案，请查看以下内容。

如何为前 N 个和表格可视化创建仪表板钻取？

您可以创建仪表板钻取，其中包含前 N 个和表格可视化的指定时间范围。

打开要链接到的仪表板，然后复制 URL。
使用前 N 个和表格可视化面板打开仪表板，然后在工具栏中单击编辑。
打开前 N 个或表格面板菜单，然后选择编辑可视化。
单击面板选项。
在项目 URL字段中，输入 URL。

例如 dashboards#/view/f193ca90-c9f4-11eb-b038-dd3270053a27。
单击 保存并返回。
在工具栏中，单击另存为，然后确保取消选中将时间与仪表板一起存储。

如何根据我的数据设置钻取 URL？

您可以使用可视化数据动态构建钻取 URL。

为此，请将 {{key}} 占位符添加到您的 URL

例如 https://example.org/{{key}}

这指示 TSVB 将可视化中的值替换到任何看到 {{key}} 的位置。

如果您的数据包含保留或无效的 URL 字符（如 "#" 或 "&"），您应该应用转换来对 URL 进行编码，如下所示 {{encodeURIComponent key}}。如果您要动态构造到 Kibana 中其他位置的钻取（例如，单击表行会将您带到值作用域的已保存搜索），您可能需要对您的键进行 Rison 编码，因为它可能包含无效的 Rison 字符。（Rison 是 Kibana 的许多部分用于在其 URL 中存储信息的序列化格式。）

例如：discover#/view/0ac50180-82d9-11ec-9f4a-55de56b00cc0?_a=(filters:!((query:(match_phrase:(foo.keyword:{{rison key}})))))

如果两个条件都适用，您可以通过应用这两个转换来涵盖所有情况：{{encodeURIComponent (rison key)}}。

技术说明：TSVB 使用 Handlebars 来执行这些插值。rison 和 encodeURIComponent 是 Kibana 提供的自定义 Handlebars 助手。

为什么我的 TSVB 可视化缺少数据？

这取决于具体情况，但最常见的原因有两个

对于具有导数函数的时间序列可视化，时间间隔可能太小。导数需要顺序值。
对于所有其他TSVB可视化，原因可能是数据时间范围模式，它由面板选项 > 数据时间范围模式 > 整个时间范围控制。默认情况下，TSVB 显示最后一个完整的桶。例如，如果时间过滤器设置为过去 24 小时，并且当前时间为 9:41，则TSVB 只显示最后 10 分钟 — 从 9:30 到 9:40。

如何计算两个数据序列之间的差异？

在TSVB中不支持跨数据序列执行数学运算。要计算两个数据序列之间的差异，请使用 Timelion 或 Vega。

如何比较当前月份与上个月？

TSVB 可以显示具有时间偏移的两个序列，但它不能跨序列执行数学运算。要添加时间偏移

单击克隆序列，然后为新序列选择颜色。
单击选项，然后在按此偏移量偏移序列时间字段中输入偏移值。

如何计算环比变化？

TSVB 中不完全支持计算环比变化，但是如果时间过滤器设置为 3 个月或更长时间并且间隔为 1m，则支持一个特殊情况。使用导数来获取绝对月度变化。要转换为百分比，请添加具有 params.current / (params.current - params.derivative) 公式的数学函数，然后从数据格式化器下拉列表中选择百分比。

对于其他类型的环比计算，请使用Timelion 或 Vega。

如何计算事件开始和结束之间的持续时间？

在TSVB中不支持计算事件开始和结束之间的持续时间，因为TSVB需要不同时间段之间的关联。TSVB要求预先计算持续时间。

Timelion

编辑

要使用 Timelion，您可以使用 Timelion 特定的语法将函数链接在一起定义一个图形。该语法启用了一些经典点系列图表不提供的功能，例如将来自不同索引或数据源的数据拉入一个图形中。

Timelion 由一个简单的表达式语言驱动，您可以使用它来

从一个或多个索引检索时间序列数据
在两个或多个时间序列之间执行数学运算
可视化结果

Timelion

Timelion 表达式

编辑

Timelion 函数始终以点开头，后跟函数名称，后跟包含该函数所有参数的括号。

如果使用长单词，则 .es（或 .elasticsearch）函数从 Elasticsearch 收集数据并随时间绘制数据。默认情况下，.es 函数只会计算文档的数量，从而生成一个显示随时间推移的文档数量的图表。

函数参数

编辑

函数可以有多个参数，.es 函数也是如此。每个参数都有一个名称，您可以在括号内使用该名称来设置其值。参数也有一个顺序，该顺序由自动完成或文档显示（使用顶部菜单中的“文档”按钮）。

如果您未指定参数名称，则 timelion 会按照文档中列出的顺序将值分配给参数。

.es 函数的第一个参数是参数 q（用于查询），这是一个用于过滤此系列数据的查询字符串。您也可以通过其名称显式引用此参数，并且我始终建议在您向函数传递多个参数时立即这样做。因此，以下两个表达式是等效的

es(q=*)多个参数用逗号分隔。.es 函数还有另一个名为 index 的参数，该参数可用于为此系列指定数据视图，因此不会针对所有索引（或您将设置更改为的任何内容）执行查询。

es(q=, index=logstash-)如果参数的值包含空格或逗号，则必须将该值放在单引号或双引号中。否则，您可以省略这些引号。

.yaxis() 函数

编辑

Kibana 支持数据系列的许多 y 轴刻度和范围。

.yaxis() 函数支持以下参数

yaxis — 在其上绘制序列的编号 y 轴。例如，使用 .yaxis(2) 来显示第二个 y 轴。
min — y 轴范围的最小值。
max — y 轴范围的最大值。
position — 单位的位置。值包括 left 或 right。
label — 轴的标签。
color — 轴标签的颜色。
units — 用于格式化 y 轴标签的函数。值包括 bits、bits/s、bytes、bytes/s、currency(:ISO 4217 货币代码)、percent 和 custom(:前缀:后缀)。
tickDecimals — 刻度的小数精度。

示例

.es(index= kibana_sample_data_logs,
    timefield='@timestamp',
    metric='avg:bytes')
  .label('Average Bytes for request')
  .title('Memory consumption over time in bytes').yaxis(1,units=bytes,position=left), 
.es(index= kibana_sample_data_logs,
    timefield='@timestamp',
    metric=avg:machine.ram)
  .label('Average Machine RAM amount').yaxis(2,units=bytes,position=right)

	`.yaxis(1,units=bytes,position=left)` — 为第一个数据系列指定第一个 y 轴，并更改左侧的单位。
	`.yaxis(2,units=bytes,position=left)` — 为第二个数据系列指定第二个 y 轴，并更改右侧的单位。

教程：使用 Timelion 创建可视化

编辑

您使用 Metricbeat 从操作系统收集了数据，并且您希望在仪表板上可视化和分析数据。要创建数据面板，请使用 Timelion 创建时间序列可视化，

添加数据并创建仪表板

编辑

设置 Metricbeat，然后创建仪表板。

要设置 Metricbeat，请转到 Metricbeat 快速入门：安装和配置
转到 仪表板。
在 仪表板 页面上，单击 创建仪表板。

打开并设置 Timelion

编辑

打开 Timelion 并更改时间范围。

在仪表板上，单击所有类型 > 基于聚合，然后选择Timelion。
确保时间过滤器为 最近 7 天。

创建时间序列可视化

编辑

要比较用户空间中花费的 CPU 时间的实时百分比与偏移一小时的结果，请创建一个时间序列可视化。

定义函数

编辑

要跟踪 CPU 的实时百分比，请在Timelion 表达式字段中输入以下内容，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')

比较数据

编辑

要比较两个数据集，请添加另一个系列，并将数据偏移一个小时，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct'),
.es(offset=-1h,
    index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')

添加标签名称

编辑

为了轻松区分两个数据集，请添加标签名称，然后单击更新

.es(offset=-1h,index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct').label('last hour'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct').label('current hour')

添加标题

编辑

为了使不熟悉的用户更容易理解可视化的目的，请添加标题，然后单击更新

.es(offset=-1h,
    index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('last hour'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('current hour')
  .title('CPU usage over time')

更改图表线条的外观

编辑

要区分当前小时和上一个小时，请更改图表线条的外观，然后单击更新

.es(offset=-1h,
    index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('last hour')
  .lines(fill=1,width=0.5),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('current hour')
  .title('CPU usage over time')

更改线条颜色

编辑

Timelion 支持标准颜色名称、十六进制值或用于分组数据的颜色方案。

要使第一个数据系列突出显示，请更改线条颜色，然后单击更新

.es(offset=-1h,
    index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('last hour')
  .lines(fill=1,width=0.5)
  .color(gray),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('current hour')
  .title('CPU usage over time')
  .color(#1E90FF)

调整图例

编辑

将图例移动到西北位置，并使用两列，然后单击更新

.es(offset=-1h,
    index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('last hour')
  .lines(fill=1,width=0.5)
  .color(gray),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='avg:system.cpu.user.pct')
  .label('current hour')
  .title('CPU usage over time')
  .color(#1E90FF)
  .legend(columns=2, position=nw)

保存并添加面板

编辑

将面板保存到 可视化库 并将其添加到仪表板，或者将其添加到仪表板而不保存。

要将面板保存到 可视化库

单击 保存到库。
输入标题并添加任何适用的标签。
确保已选中 保存后添加到仪表板。
单击 保存并返回。

要将面板保存到仪表板

单击 保存并返回。
向面板添加一个可选标题。
1. 在面板标题中，单击 无标题。
2. 在 面板设置 窗口中，选择 显示标题。
3. 输入标题，然后单击保存。

可视化入站和出站网络流量

编辑

要创建入站和出站网络流量的可视化，请使用数学函数。

定义函数

编辑

要开始跟踪入站和出站网络流量，请在Timelion 表达式字段中输入以下内容，然后单击更新

.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.in.bytes)

绘制变化率

编辑

为了轻松监控入站流量，绘制值随时间的变化，然后单击更新

.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.in.bytes)
  .derivative()

为出站流量添加类似的计算，然后单击更新

.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.in.bytes)
  .derivative(),
.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.out.bytes)
  .derivative()
  .multiply(-1)

.multiply(-1) 将出站网络流量转换为负值，因为出站网络流量正在离开您的机器。.multiply() 将数据序列乘以一个数字、数据序列的结果或数据序列的列表。

更改数据指标

编辑

为了使数据更易于分析，请将数据指标从 bytes 更改为 megabytes，然后单击更新

.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.in.bytes)
  .derivative()
  .divide(1048576),
.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.out.bytes)
  .derivative()
  .multiply(-1)
  .divide(1048576)

.divide() 接受与 .multiply() 相同的输入，然后将数据序列除以定义的除数。

自定义和格式化可视化

编辑

使用以下函数自定义和格式化可视化，然后单击更新

.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.in.bytes)
  .derivative()
  .divide(1048576)
  .lines(fill=2, width=1)
  .color(green)
  .label("Inbound traffic")
  .title("Network traffic (MB/s)"),
.es(index=metricbeat*,
    timefield=@timestamp,
    metric=max:system.network.out.bytes)
  .derivative()
  .multiply(-1)
  .divide(1048576)
  .lines(fill=2, width=1)
  .color(blue)
  .label("Outbound traffic")
  .legend(columns=2, position=nw)

Final visualization that displays inbound and outbound network traffic

保存并添加面板

编辑

将面板保存到 可视化库 并将其添加到仪表板，或者将其添加到仪表板而不保存。

要将面板保存到 可视化库

单击 保存到库。
输入标题并添加任何适用的标签。
确保已选中 保存后添加到仪表板。
单击 保存并返回。

要将面板保存到仪表板

单击 保存并返回。
向面板添加一个可选标题。
1. 在面板标题中，单击 无标题。
2. 在 面板设置 窗口中，选择 显示标题。
3. 输入标题，然后单击保存。

检测异常值并发现随时间推移的模式

编辑

为了轻松检测异常值并发现随时间推移的模式，请使用条件逻辑修改时间序列数据，并使用移动平均值创建趋势。

使用 Timelion 条件逻辑，您可以使用以下运算符值来比较您的数据

`eq`	等于
`ne`	不等于
`lt`	小于
`lte`	小于等于
`大于`	大于
`大于等于`	大于等于

定义函数

编辑

要绘制 system.memory.actual.used.bytes 的最大值，请在 Timelion 表达式 字段中输入以下内容，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')

跟踪已用内存

编辑

要跟踪已用内存量，请创建两个阈值，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,                             
      11300000000,                    
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null)
    .label('warning')
    .color('#FFCC11'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,
      11375000000,
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null)
  .label('severe')
  .color('red')

	`if()` 将每个点与一个数字进行比较。当条件为 `true` 时，调整样式。当条件为 `false` 时，使用默认样式。
	Timelion 用于大于运算符的条件逻辑。在此示例中，警告阈值为 11.3GB（`11300000000`），严重阈值为 11.375GB（`11375000000`）。如果阈值对于您的机器来说太高或太低，请调整这些值。

确定趋势

编辑

要确定趋势，请创建一个新的数据序列，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,11300000000,
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null)
      .label('warning')
      .color('#FFCC11'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,11375000000,
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null).
      label('severe')
      .color('red'),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .mvavg(10)

mvavg() 计算指定时间段内的移动平均值。在此示例中，.mvavg(10) 创建一个窗口为 10 个数据点的移动平均值。

自定义和格式化可视化

编辑

使用以下函数自定义和格式化可视化，然后单击更新

.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .label('max memory')                    
  .title('Memory consumption over time'), 
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,
      11300000000,
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null)
    .label('warning')
    .color('#FFCC11')                 
    .lines(width=5),                  
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .if(gt,
      11375000000,
      .es(index=metricbeat-*,
          timefield='@timestamp',
          metric='max:system.memory.actual.used.bytes'),
      null)
    .label('severe')
    .color('red')
    .lines(width=5),
.es(index=metricbeat-*,
    timefield='@timestamp',
    metric='max:system.memory.actual.used.bytes')
  .mvavg(10)
  .label('mvavg')
  .lines(width=2)
  .color(#5E5E5E)
  .legend(columns=4, position=nw)

Final visualization that displays outliers and patterns over time

保存并添加面板

编辑

将面板保存到 可视化库 并将其添加到仪表板，或者将其添加到仪表板而不保存。

要将面板保存到 可视化库

单击 保存到库。
输入标题并添加任何适用的标签。
确保已选中 保存后添加到仪表板。
单击 保存并返回。

要将面板保存到仪表板

单击 保存并返回。
向面板添加一个可选标题。
1. 在面板标题中，单击 无标题。
2. 在 面板设置 窗口中，选择 显示标题。
3. 输入标题，然后单击保存。

有关 Timelion 条件的更多信息，请参阅我只有一个 .condition()。

« 链接面板管理仪表板 »