探索
编辑探索编辑
您对数据有疑问。您的网站上哪些页面包含特定单词或短语?最近记录了哪些事件?哪些进程响应时间超过 500 毫秒?
使用 探索,您可以快速搜索和过滤数据,获取有关字段结构的信息,并将您的发现显示在可视化中。您还可以自定义和保存搜索,并将它们放置在仪表板上。
探索和查询您的数据编辑
本教程将向您展示如何使用 探索 搜索大量数据并了解任何给定时间发生的事情。
您将学习
- 选择 用于探索的数据,为该数据设置时间范围,使用 Kibana 查询语言搜索它,并过滤结果。
- 探索 数据的详细信息,查看单个文档,并创建汇总数据内容的表格。
- 展示 您的发现的可视化。
在本教程结束时,您将准备好开始使用您自己的数据在 探索 中进行探索。
先决条件
- 如果您还没有 Kibana,请使用 我们的免费试用版 进行设置。
- 您必须在 Elasticsearch 中拥有数据。本教程使用 电子商务示例数据集,但您可以使用自己的数据。
- 您应该了解 Elasticsearch 文档和索引 以及 Kibana 概念。
查找您的数据编辑
告诉 Kibana 在哪里查找要探索的数据,然后指定查看该数据的時間範圍。
探索数据中的字段编辑
探索 包含一个表格,其中显示与您的搜索匹配的所有文档。默认情况下,文档表格包含时间字段的列和列出文档中所有其他字段的列。您将修改文档表格以显示您感兴趣的字段。
-
在侧边栏中,在搜索字段中输入
ma以查找manufacturer字段。
您可以在字段搜索中使用通配符。例如,
goe*dest查找geo.dest和geo.src.dest。 -
在 可用字段 列表中,单击
manufacturer以查看其最受欢迎的值。探索 显示前 10 个值以及用于计算这些值的记录数量。
-
单击
将字段切换到文档表格中。您也可以将字段从 可用字段 列表拖放到文档表格中。
-
找到
customer_first_name和customer_last_name字段,并将它们添加到文档表格中。您的表格应类似于以下内容
-
可选地尝试以下操作
- 要重新排列表格列,请单击列标题,然后选择 向左移动 或 向右移动。
- 要将列中的名称或值复制到剪贴板,请单击列标题并选择所需的 复制 选项。
- 要查看更多文档表格,请单击
打开 图表选项 菜单,然后选择 隐藏图表。 - 有关文档表格上的键盘快捷键,请单击
。 - 要将行高设置为一行或多行,或自动调整高度以适合内容,请单击
。 - 要将表格切换进出全屏模式,请单击全屏图标
。
向您的数据视图添加字段编辑
如果您忘记将重要值定义为单独的字段怎么办?或者,如果您想将两个字段组合起来并将其视为一个字段怎么办?这就是 运行时字段 发挥作用的地方。您可以从 探索 内部向您的数据视图添加运行时字段,然后像使用其他字段一样使用该字段进行分析和可视化。
- 在侧边栏中,单击 添加字段。
- 在 创建字段 表单中,为名称输入
hello。 - 打开 设置值。
-
使用 Painless 脚本语言定义脚本。运行时字段需要一个
emit()。emit("Hello World!"); - 单击 保存。
-
在侧边栏中,搜索 hello 字段,然后将其添加到文档表格中。
-
创建一个名为
customer的第二个字段,它将客户姓氏和第一个首字母组合在一起。String str = doc['customer_first_name.keyword'].value; char ch1 = str.charAt(0); emit(doc['customer_last_name.keyword'].value + ", " + ch1);
-
从文档表格中删除
customer_first_name和customer_last_name,然后添加customer。
有关添加字段和 Painless 脚本语言示例的更多信息,请参阅 使用运行时字段探索您的数据。
搜索您的数据编辑
探索 的独特功能之一是能够将自由文本搜索与基于结构化数据的过滤相结合。要搜索所有字段,请在查询栏中输入一个简单的字符串。
要搜索特定字段并构建更复杂的查询,请使用 Kibana 查询语言。在您键入时,KQL 会提示您可以使用哪些字段进行搜索以及可以使用哪些运算符来构建结构化查询。
搜索电子商务数据以查找国家/地区与 US 匹配的文档
- 输入
g,然后选择 geoip.country_iso_code。 - 选择 : 表示等于某个值,选择 US,然后单击刷新按钮或按 Enter 键。
-
对于更复杂的搜索,请尝试
geoip.country_iso_code : US and products.taxless_price >= 75
过滤您的数据编辑
查询定义了您感兴趣的文档集,而过滤器使您能够专注于这些文档的子集。您可以过滤结果以包含或排除特定字段,过滤范围内的值等等。
排除星期几不是星期三的文档
- 单击查询栏旁边的 。
-
在 添加过滤器 弹出窗口中,将字段设置为 day_of_week,运算符设置为 不是,值设置为 星期三。
- 单击 添加过滤器。
- 通过添加更多过滤器来继续您的探索。
- 要删除过滤器,请单击过滤器栏中其名称旁边的关闭图标 (x)。
查看文档内部编辑
深入研究单个文档以查看其字段以及之前和之后发生的文档。
-
在文档表格中,单击展开图标
以显示文档详细信息。
- 扫描字段及其值。如果您找到感兴趣的字段,请将鼠标悬停在 操作 列上以获取过滤器和其他选项。
- 要创建可以添加书签和共享的文档视图,请单击 单个文档。
- 要查看在您查看的事件之前或之后发生的文档,请单击 周围文档。
保存搜索以供日后使用编辑
保存搜索,以便日后使用,生成 CSV 报告,或用于创建可视化、仪表板和 Canvas 工作区。保存搜索会保存查询文本、过滤器和 Discover 的当前视图,包括文档表中选定的列、排序顺序和数据视图。
- 在工具栏中,单击 保存。
- 为搜索指定一个标题。
- 可以选择将 标签 和时间范围与搜索一起存储。
- 单击 保存。
可视化您的发现编辑
如果某个字段可以 聚合,您可以从 Discover 快速可视化它。
-
在侧边栏中,找到并单击
day_of_week。
-
在弹出窗口中,单击 可视化。
Kibana 会创建最适合此字段的可视化。
-
从 可用字段 列表中,将
manufacturer.keyword拖放到工作区。
-
保存您的可视化,以便在仪表板上使用。
对于地理点字段 (
),如果您单击 可视化,您的数据将显示在地图上。
分享您的发现编辑
要与更广泛的受众分享您的发现,请单击 Discover 工具栏中的 分享。有关共享选项的详细信息,请参阅 报告。
生成警报编辑
从 Discover,您可以创建一个规则,定期检查数据在给定时间间隔内何时超过或低于某个阈值。
有关此规则和其他警报功能提供的规则的更多信息,请访问 警报。
下一步编辑
- 详细了解 KQL 查询的结构.
- 搜索相关性.
- 配置图表和文档表 以更好地满足您的需求。