« 在后台运行搜索会话 仪表盘和可视化 »
Elastic 文档 Kibana 指南 [8.14] 发现

使用 ES|QL

编辑

使用 ES|QL编辑

Elasticsearch 查询语言 ES|QL 使您无需离开发现即可更轻松地探索数据。

在本教程中,我们将使用 Kibana 示例 Web 日志在发现和 Lens 中探索数据并创建可视化。

先决条件编辑

要能够从数据视图菜单中选择 语言 ES|QL,必须从 堆栈管理 > 高级设置 中启用 enableESQL 设置。默认情况下已启用。

使用 ES|QL编辑

要加载示例数据

  1. 在主页上,单击 尝试示例数据
  2. 单击 其他示例数据集
  3. 在示例 Web 日志卡片上,单击 添加数据
  4. 打开主菜单并选择 发现
  5. 从数据视图菜单中,选择 语言 ES|QL

假设我们想知道用户使用的是什么操作系统以及他们的机器上有多少 RAM。

  1. 将时间范围设置为 过去 7 天
  2. 展开 展开图标的图像 查询栏。
  3. 将每个处理命令放在新行上以提高可读性。

  4. 复制下面的查询

    FROM kibana_sample_data_logs
| KEEP machine.os, machine.ram

  5. 单击 ▶运行

    An image of the query result

    ES|QL 关键字不区分大小写。

让我们将 geo.dest 添加到我们的查询中,以找出访问的地理目的地,并限制结果。

  1. 复制下面的查询

    FROM kibana_sample_data_logs
| KEEP machine.os, machine.ram, geo.dest
| LIMIT 10

  2. 单击 ▶运行

    An image of the extended query result

让我们按机器内存对数据进行排序,并过滤掉目的地 GB。

  1. 复制下面的查询

    FROM kibana_sample_data_logs
| KEEP machine.os, machine.ram, geo.dest
| SORT machine.ram desc
| WHERE geo.dest != "GB"
| LIMIT 10

  2. 单击 ▶运行

    esql full query

  3. 单击 保存 将查询和可视化保存到仪表盘。

要对可视化进行更改,可以使用可视化下拉菜单。要更改使用的颜色或轴,或者单击铅笔图标。这将打开一个内联编辑器,您可以在其中更改可视化的颜色和轴。

有关完整的 ES|QL 文档,包括教程、示例和完整的语法参考,请参阅 Elasticsearch 文档。有关 Kibana 中 ES|QL 的更详细概述,请参阅 在 Kibana 中使用 ES|QL

« 在后台运行搜索会话 仪表盘和可视化 »