在后台运行搜索会话
编辑在后台运行搜索会话编辑
有时您可能需要搜索大量数据,无论搜索需要多长时间。考虑一个威胁狩猎场景,您需要搜索多年的数据。您可以保存长时间运行的搜索,以便 Kibana 在后台处理您的请求,您可以继续工作。
从 发现 或 仪表板 保存您的搜索会话,并在会话完成后,在 堆栈管理 中查看和管理它。搜索会话 默认情况下已启用。
要求编辑
- 要保存会话,您必须具有 发现 和 仪表板 的权限,以及 搜索会话子功能。
- 要查看和恢复已保存的会话,您必须有权访问 堆栈管理。
示例:保存搜索会话编辑
您正在尝试了解您在仪表板上看到的趋势。您需要查看几年的数据,目前在 冷存储 中,但您没有时间等待。您希望 Kibana 在后台继续工作,以便您明天可以打开浏览器并从您离开的地方继续。
-
加载您的仪表板。
您的搜索会话会自动开始。仪表板标题后的图标显示搜索会话的当前状态。时钟图标表示搜索会话正在进行。勾号表示搜索会话已完成。
-
要继续在后台搜索,请单击时钟图标,然后单击 保存会话。
保存搜索会话后,您可以开始新的搜索,导航到不同的应用程序或关闭浏览器。
-
要查看已保存的搜索,请打开主菜单,然后单击 堆栈管理 > 搜索会话。对于已保存或已完成的会话,您也可以从搜索会话弹出窗口打开此视图。
-
使用 搜索会话 中的编辑菜单来
- 检查 构成会话的查询和过滤器。
- 编辑会话名称。
- 延长 已完成会话的到期时间。
- 删除 会话。
-
要恢复搜索会话,请在 搜索会话 视图中单击其名称。
您将返回到您开始搜索会话的地方。数据相同,但行为不同
- 相对日期将转换为绝对日期。
- 地图的平移和缩放功能已禁用。
- 更改过滤器、查询或下钻将开始新的搜索会话,这可能很慢。
限制编辑
某些可视化功能不支持后台搜索会话。恢复仪表板时,具有不受支持功能的面板不会立即加载,而是会发出额外的數據请求,这可能需要一段时间才能完成。将显示 您的搜索会话仍在运行 警告。您可以等待这些额外的请求完成,也可以稍后在所有数据请求完成后返回仪表板。
如果使用以下功能之一,仪表板上的面板可能会表现得像这样
透镜
- 启用了 将其他值分组为“其他” 设置的 顶部值 维度。这可以在维度的 高级 部分进行配置。
- 一个 间隔 维度。
基于聚合的 可视化
- 启用了 将其他值分组到单独的桶中 设置的 术语 聚合。
- 一个 直方图 聚合。
地图
- 使用联接、混合图层或轨迹图层的图层。