« Kibana 概念 设置时间范围 »
Elastic 文档 Kibana 指南 [8.14] Kibana 概念

创建数据视图

编辑

创建数据视图编辑

Kibana 需要一个数据视图才能访问您要浏览的 Elasticsearch 数据。数据视图可以指向一个或多个索引、数据流索引别名。例如,数据视图可以指向您昨天的日志数据,或包含您数据的所有索引。

所需权限编辑

  • 访问数据视图需要Kibana 权限Data View Management
  • 要创建数据视图,您必须拥有Elasticsearch 权限view_index_metadata
  • 如果 Kibana 中出现只读指示器,则表示您没有足够的权限来创建或保存数据视图。此外,创建数据视图或保存现有数据视图的按钮不可见。有关更多信息,请参阅授予对 Kibana 的访问权限

创建数据视图编辑

如果您使用 Kibana摄取选项之一收集数据、上传文件或添加示例数据,您将免费获得一个数据视图,并可以开始浏览您的数据。如果您加载了自己的数据,请按照以下步骤创建数据视图。

  1. 打开LensDiscover,然后打开数据视图菜单。

    How to set the data view in Discover
  2. 点击创建数据视图
  3. 为您的数据视图命名。

  4. 开始在索引模式字段中键入内容,Kibana 会查找与您输入内容匹配的索引、数据流和别名名称。您可以查看所有可用来源或仅查看数据视图定位的来源。

    Create data view

    • 要匹配多个来源,请使用通配符 (*)。filebeat-*匹配filebeat-apache-afilebeat-apache-b等。
    • 要匹配多个单个来源,请输入它们的名称,并用逗号分隔。逗号后不要包含空格。filebeat-a,filebeat-b匹配两个索引。
    • 要排除来源,请使用减号 (-),例如-test3

  5. 打开时间戳字段下拉菜单,然后选择默认字段以按时间过滤数据。

    • 如果您没有设置默认时间字段,则无法在仪表板上使用全局时间过滤器。如果您有多个时间字段,并且想要创建基于不同时间戳组合可视化的仪表板,这将非常有用。
    • 如果您的索引没有基于时间的数据,请选择我不想使用时间过滤器

  6. 点击显示高级设置

    • 显示隐藏和系统索引。
    • 指定您自己的数据视图名称。例如,输入您的 Elasticsearch 索引别名。

  7. 点击将数据视图保存到 Kibana

    您可以从堆栈管理管理您的数据视图。

创建临时数据视图编辑

想要浏览您的数据或创建可视化,而不想将其保存为数据视图?在DiscoverLens创建数据视图表单中选择使用但不保存。使用临时数据视图,您可以像使用常规数据视图一样添加字段并创建 Elasticsearch 查询警报。您的工作对您空间中的其他人不可见。

临时数据视图会一直保留在您的空间中,直到您更改应用程序或保存它为止。

how to create an ad-hoc data view

临时数据视图在堆栈管理中不可用。

将数据视图与汇总数据一起使用编辑

已在 8.11.0 中弃用。

汇总已弃用,将在未来版本中删除。请改用下采样

数据视图可以匹配一个汇总索引。对于包含原始数据和汇总数据的组合汇总数据视图,请使用标准表示法

rollup_logstash,kibana_sample_data_logs

有关示例,请参阅创建和可视化汇总数据

将数据视图与跨集群搜索一起使用编辑

如果您的 Elasticsearch 集群配置为跨集群搜索,则可以创建一个数据视图来跨您选择的集群进行搜索。使用以下语法指定远程集群中的数据流、索引和别名

<remote_cluster_name>:<target>

要跨您为跨集群搜索设置的两个 Elasticsearch 集群(名为cluster_onecluster_two)查询 Logstash 索引

 cluster_one:logstash-*,cluster_two:logstash-*

在集群名称中使用通配符以匹配任意数量的集群。要在名为cluster_foocluster_bar等的集群中搜索 Logstash 索引

cluster_*:logstash-*

要跨已配置为跨集群搜索的所有 Elasticsearch 集群进行查询,请为您的集群名称使用独立通配符

*:logstash-*

要匹配以logstash-开头的索引,但排除以logstash-old开头的索引,这些索引来自名称以cluster_开头的所有集群

`cluster_*:logstash-*,cluster_*:-logstash-old*`

排除集群可以避免向该集群发送任何网络调用。要排除名为cluster_one的集群

`cluster_*:logstash-*,-cluster_one:*`

将数据视图配置为使用跨集群搜索语法后,Kibana 中使用该数据视图的所有搜索和聚合都将利用跨集群搜索。

有关更多信息,请参阅从跨集群搜索中排除有问题的集群或索引

删除数据视图编辑

删除数据视图后,您将无法恢复关联的字段格式化程序、运行时字段、源过滤器和字段流行度数据。删除数据视图不会从 Elasticsearch 中删除任何索引或数据文档。

删除数据视图会破坏引用该数据视图的所有可视化、已保存的搜索和其他已保存的对象。

  1. 打开主菜单,然后点击堆栈管理 > 数据视图
  2. 找到要删除的数据视图,然后点击删除图标操作列中。

数据视图字段缓存编辑

浏览器会缓存数据视图字段列表以提高性能。这对于字段数量众多且跨越大量索引和集群的数据视图尤其有效。在典型的 Kibana 使用中,字段列表每隔几分钟更新一次。或者,使用数据视图管理详细信息页面上的刷新按钮来获取更新的字段列表。强制重新加载 Kibana 也会产生相同的效果。

字段列表可能会受到索引和用户权限更改的影响。

« Kibana 概念 设置时间范围 »