在后台运行搜索会话
编辑在后台运行搜索会话
编辑在 8.15.0 中已弃用。
搜索会话已弃用,将在未来的版本中移除。
有时您可能需要搜索大量数据,无论搜索需要多长时间。考虑一种威胁狩猎场景,您需要搜索多年的数据。您可以保存长时间运行的搜索,以便 Kibana 在后台处理您的请求,并且您可以继续您的工作。
从 Discover 或 Dashboard 保存您的搜索会话,当您的会话完成后,在 堆栈管理 中查看和管理它。搜索会话默认情况下已启用。
要求
编辑- 要保存会话,您必须拥有 Discover 和 Dashboard 的权限,以及搜索会话子功能的权限。
- 要查看和恢复保存的会话,您必须有权访问 堆栈管理。
示例:保存搜索会话
编辑您正在尝试理解仪表板上看到的趋势。您需要查看几年的数据,这些数据目前存储在冷存储中,但您没有时间等待。您希望 Kibana 在后台继续工作,这样明天您就可以打开浏览器并从上次中断的地方继续。
-
加载您的仪表板。
您的搜索会话自动开始。仪表板标题后面的图标显示搜索会话的当前状态。时钟图标表示搜索会话正在进行中。勾号表示搜索会话已完成。
-
要在后台继续搜索,请单击时钟图标,然后单击 保存会话。
一旦您保存了搜索会话,您可以开始新的搜索,导航到不同的应用程序,或关闭浏览器。
-
要查看您保存的搜索,请使用导航菜单或全局搜索字段转到 搜索会话 管理页面。对于已保存或已完成的会话,您还可以从搜索会话弹出窗口打开此视图。
-
使用 搜索会话 中的编辑菜单来
- 检查构成会话的查询和过滤器。
- 编辑名称会话。
- 延长已完成会话的有效期。
- 删除会话。
-
要恢复搜索会话,请在 搜索会话 视图中单击其名称。
您将返回到开始搜索会话的位置。数据是相同的,但行为不同
- 相对日期转换为绝对日期。
- 地图的平移和缩放已禁用。
- 更改过滤器、查询或下钻会启动新的搜索会话,这可能会很慢。
限制
编辑某些可视化功能不完全支持后台搜索会话。当您恢复仪表板时,具有不支持的功能的面板不会立即加载,而是发送额外的请求,这可能需要一段时间才能完成。出现您的搜索会话仍在运行警告。您可以等待这些额外请求完成,或在所有数据请求都完成后再返回仪表板。
如果使用以下功能之一,则仪表板上的面板可能会表现如此
Lens
- 启用将其他值分组为“其他”设置的顶部值维度。这可以在维度的高级部分中配置。
- 间隔维度。
基于聚合的可视化
- 启用将其他值分组到单独的存储桶中设置的术语聚合。
- 直方图聚合。
地图
- 使用连接、混合图层或轨迹图层的图层。