Kibana:使用 ES|QL 构建地图,对国家或地区的指标进行对比

原创 于 2025-12-20 16:20:20 发布 · 586 阅读 · 17 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#elasticsearch #大数据 #搜索引擎 #全文检索 #数据库 #kibana #信息可视化

作者:来自 Elastic Nathan_Reese

Kibana 地图 教程 “构建地图,用于按国家或地区对比指标” 使用 Elasticsearch 的 DSL 查询 来创建地图。最近新增的 ES|QL 函数 LOOKUP JOIN( 8.18 )和 ST_GEOTILE( 9.2 )使得可以使用 ES|QL 重新创建该教程中的地图。

下面是使用 ES|QL 重新创建该教程地图的步骤。随后,这些步骤还超出了原始教程的能力范围,并按国家人口对分级设色图层进行归一化处理。

前提条件

步骤 1:创建 地图

  • 前往 Dashboards。
  • 点击 Create dashboard。
  • 将时间范围设置为 Last 7 days。
  • 点击 Add 按钮并选择 New panel,最后点击 Maps。

步骤 2. 添加一个 choropleth 图层

你将添加的第一个图层是一个 choropleth 图层,用于按 web 日志流量为世界各国着色。较深的颜色表示 web 日志流量较多的国家,较浅的颜色表示流量较少的国家。

索引世界国家

  • 在 Kibana maps 中,点击 Add layer

  • 选择 Upload file
  • 在文件选择器中选择世界国家 GeoJSON 文件
  • 将 Index name 设置为 world_countries
  • 打开 Advanced 部分
  • 将 Index settings 设置为 { "index.mode": "lookup" }。

添加 choropleth 图层

  • 点击 Add layer
  • 选择 ES|QL

  • 将 ES|QL statement 设置为
FROM kibana_sample_data_logs 
| STATS count = COUNT() BY geo.dest 
| RENAME geo.dest AS iso2.keyword 
| LOOKUP JOIN world_countries ON iso2.keyword 
| RENAME iso2.keyword AS geo.dest 
| KEEP count, geometry, geo.dest

  • 点击 Add and continue
  • 在 Layer settings 中,设置:
    • 将 Name 设置为 Total Requests by Destination。
    • 将 Opacity 设置为 50%。

  • 在 Layer style 中
    • 将 Fill color 设置为 By value by count。选择 “grey to black” 颜色渐变。
    • 将 Border color 设置为 “white”。4.

  • 点击 Keep changes。你的地图现在应该看起来像

步骤 3. 为 Elasticsearch 数据添加图层

为了避免一次向用户展示过多数据,你将为 Elasticsearch 数据添加两个图层。第一个图层在用户放大地图时显示单个文档。第二个图层在用户缩小地图时显示聚合数据。

为单个文档添加图层

此图层将 web 日志文档显示为点。
该图层仅在用户放大时可见。

  • 点击 Add layer
  • 选择 ES|QL

  • 将 ES|QL statement 设置为
FROM kibana_sample_data_logs 
| KEEP geo.coordinates, agent, bytes, clientip, 
       host, machine.os, request, response, timestamp 
| LIMIT 10000
  • 在 ES|QL 编辑器中点击 Run query
  • 点击 Add and continue

  • 在 Layer settings 中,设置:
    • 将 Name 设置为 Actual Requests。
    • 将 Visibility 设置为范围 [9, 24]。

  • 在 Layer style 中,设置:
    • 将 Fill color 设置为 #2200FF。
    • 将 Border width 设置为 0。

  • 点击 Keep changes。你的地图现在应该看起来像

为聚合数据添加图层

你将创建一个聚合数据图层,并仅在地图缩小时显示。较深的颜色表示 web 日志流量更多的网格,较浅的颜色表示流量较少的网格。较大的圆表示传输总字节更多的网格,较小的圆表示字节较少的网格。

  • 点击 Add layer
  • 选择 ES|QL

  • 将 ES|QL statement 设置为
FROM kibana_sample_data_logs  
| EVAL geotile = ST_GEOTILE(geo.coordinates, 6) 
| STATS count = COUNT(geotile), 
        sumOfBytes = SUM(bytes), 
        centroid = ST_CENTROID_AGG(geo.coordinates) BY geotile

  • 在 ES|QL 编辑器中点击 Run query
  • 点击 Add 并继续
  • 在 Layer settings 中,设置:
    • 将 Name 设置为 Total Requests and Bytes。
    • 将 Visibility 设置为范围 [0, 9]。

  • 在 Layer style 中,设置:
    • 将 Fill color 设置为 By value by count
    • 将 Border width 设置为 0。
    • 将 Symbol size 设置为 By value by sumOfBytes。将最小尺寸设置为 7,最大尺寸设置为 25。
    • 将 Label 设置为 By value by count

  • 点击 Keep changes。你的地图现在应该看起来像

步骤 4. 按国家人口标准化 choropleth 图层

第 2 步创建的 choropleth 图层按 web 日志流量为世界各国着色。由于各国人口不同,直接比较各国的计数并不公平。人口较多的国家可能有更多的 web 流量,而人口较少的国家流量较少。相反,你希望按人口调整后的 web 日志流量为世界各国着色。

ES|QL 可以通过考虑每个国家的总人口来对 web 日志计数进行标准化。我们将可视化每 100,000 人的 web 日志计数,而不是原始计数。现在,我们可以比较各国的标准化计数。

索引世界国家人口

  • 下载 populations_2024.csv文件。该文件来源于 World Bank Group。 下载完毕后,我们必须重新命名文件后缀为 .csv 而不是 .txt。
  • 在 Kibana 中,通过全局搜索字段进入 File upload。

  • 在文件选择器中选择 populations_2024.csv

  • 将 New index name 设置为 populations
  • 点击 Import

向 world_countries 索引添加人口字段

使用 enrich processor 将人口数据添加到世界国家集合中。

  • 通过导航菜单或全局搜索字段进入 Developer tools。
  • 创建一个 match enrichment policy
PUT /_enrich/policy/population_lookup
{
  "match": {
    "indices": "populations",
    "match_field": "iso3",
    "enrich_fields": [ "population_2024"]
  }
}
  • 要初始化该策略,运行:
POST /_enrich/policy/population_lookup/_execute
  • 要创建一个 ingest pipeline,运行:
PUT _ingest/pipeline/add_population_to_world_countries
{
  "processors": [
    {
      "enrich": {
        "field": "iso3",
        "policy_name": "population_lookup",
        "target_field": "population",
        "ignore_missing": true,
        "ignore_failure": true
      }
    }
  ]
}
  • 要向 world_countries 添加人口数据,运行:
POST world_countries/_update_by_query?pipeline=add_population_to_world_countries
  • 在 Discover 中查看 world_countries 索引。每一行现在都包含 population.population_2024 列。

在 ES|QL statement 中按人口标准化计数

  • 点击 Total Requests by Destination 图层的 edit 按钮。
  • 将 ES|QL statement 替换为
FROM kibana_sample_data_logs 
| STATS count = COUNT() BY geo.dest 
| RENAME geo.dest AS iso2.keyword 
| LOOKUP JOIN world_countries ON iso2.keyword 
| RENAME iso2.keyword AS geo.dest 
| KEEP count, geometry, geo.dest, population.population_2024 
| EVAL normalized_count = TO_DOUBLE(count) / population.population_2024 * 100000

  • 在 ES|QL 编辑器中点击 Run query

  • 在 Layer style 中将 Fill color 设置为 By value by normalized_count。

  • 点击 Keep changes。

注意:你可能已经猜到,为什么不使用 lookup 设置导入 populations CSV 来对地图查询执行第二次 LOOKUP JOIN。那是可行的!但要注意,每增加一次 join 都会有性能开销。

原文:https://discuss.elastic.co/t/dec-14th-2025-en-build-a-map-to-compare-metrics-by-country-or-region-with-es-ql/383243

博客
Elastic 线下 Meetup 将于 2026 年 1 月 10 号下午在北京举行
11-24 1962
2026年ElasticMeetup北京站将于1月10日在腾讯北京总部举办。活动邀请Elastic、腾讯及新智锦绣专家分享前沿技术,包括Elasticsearch向量搜索与AI应用、MCP超级大脑在智能运维中的实践、腾讯云ES的AI能力建设,以及搜索范式从排序到过滤的转变等主题。现场提供茶歇交流机会,并有抽奖环节。报名需实名登记,成功报名后需联系工作人员获取访客码。活动详情及报名链接:https://elastic.huodongxing.com/event/5835577361800
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
使用 Node.js Elasticsearch 客户端索引大型 CSV 文件
12-20 215
摘要:本文介绍了使用Elasticsearch Node.js客户端批量索引大型CSV文件的方法。通过bulk API可将JSON文档批量索引到Elasticsearch,对于内存受限的大文件,建议使用bulk helper实现流式处理。文章提供了两种方案:1)一次性加载CSV并转换为JSON对象进行索引;2)使用流式处理,通过设置flushBytes参数分批发送请求。后者能有效处理内存不足的情况,同时保持代码简洁性。
博客
Elasticsearch Serverless 定价解析:VCUs 和 ECUs 说明
12-20 586
Elasticsearch Serverless定价机制详解:基于VCU和ECU的弹性计费模式 摘要:Elasticsearch Serverless采用创新的VCU(虚拟计算单元)和ECU(Elastic消费单位)定价模型。Search、Ingest和ML三种VCU类型分别对应不同工作负载,计费基于实际分配资源而非固定用量。Search VCU计算考虑交互式数据集大小、搜索负载和SearchPower设置,采用阶梯式扩容而非线性增长。存储按月计费,AI工作负载可选择按token付费的Elastic推理服务
博客
Elasticsearch:构建一个 AI 驱动的电子邮件钓鱼检测
12-19 585
使用 n8n 和 Elastic Agent Builder 构建一个 AI 驱动的电子邮件钓鱼检测系统。钓鱼攻击仍然主导着网络安全威胁形势,攻击者越来越多地使用复杂的社会工程技术来绕过传统过滤器。作为一名使用 Elastic 技术的安全从业者,我构建了一个自动化的钓鱼检测与分析系统,将 n8n 工作流自动化与 Elastic 的 AI 驱动的 Agent Builder 相结合。本文将介绍该系统的架构、实现方式,以及对三个月内 44 封钓鱼邮件进行分析所获得的真实洞察。
博客
Kibana 数据可视化的新配色方案 —— 我们如何以及为什么创建它
12-19 654
Kibana数据可视化推出全新配色方案,作为设计系统视觉刷新的一部分。该方案基于Elastic品牌形象,在OKLCH色彩空间通过数学生成10种色调,包含5种基础色的深浅组合。新方案解决了旧系统无法支持复杂场景的问题,提升了一致性和可访问性(WCAG标准4.5:1对比度),同时优化了堆叠图表等场景的可读性。方案于2024年11月测试,2025年4月随Kibana9.0正式发布,为严重性等级等场景提供了统一处理标准。团队将持续迭代改进可视化体验。
博客
Observability:和你的 AutoOps 聊聊
12-19 695
摘要:Elastic的AutoOps通过实时收集和分析集群指标,帮助诊断Elasticsearch问题并提供解决方案。系统会记录问题事件并按严重程度分类显示。借助ElasticAI,离散事件被关联成连贯故事,快速识别根因。通过ElasticAgentBuilder的聊天交互,用户能在短时间内处理大量事件,如解决节点搜索队列过高、数据节点负载不平衡等问题。AI驱动的AutoOps显著加快了集群恢复过程,未来将引入AI助手进一步优化问题诊断。
博客
Elastic 在 AWS re:Invent:总结一年在 agentic AI 创新中的合作
12-19 738
Elastic 的能力(包括向量数据库和上下文工程)与 AWS 服务的集成,帮助客户更快、更灵活地构建智能、可扩展且安全的应用。我们持续的合作在 2025 年再次推动了与 AWS 的显著创新。本文重点介绍我们在 2025 年与 AWS 的持续合作,帮助你充分利用 AI 的力量。
博客
使用 LocalAI 和 Elasticsearch 构建本地 RAG 个人知识助手
12-19 1014
本文介绍了如何利用Elasticsearch和LocalAI构建本地私有RAG(检索增强生成)系统。该系统使用e5-small模型生成嵌入,dolphin3.0-qwen2.5-0.5b模型进行文本生成,完全运行在中端笔记本上,无需云端服务。文章详细说明了系统配置步骤,包括Elasticsearch实例设置、模型选择比较、数据处理流程和性能测试结果。测试显示该系统能在17秒内完成查询响应,同时保持数据隐私和离线可用性。通过对比不同模型(如smollm2-1.7b-instruct和llama-smoltal
博客
Elasticsearch:你是说,用于混合搜索(hybrid search)
12-18 822
摘要:Elastic推出简化混合搜索体验的新功能,通过semantic_text字段和检索器实现文本与语义搜索的无缝结合。新功能支持开箱即用的语义搜索,提供RRF和linear等检索器简化得分组合,并引入ES|QL查询语言支持FORK/FUSE等高级操作。系统既提供默认设置也支持深度定制,让用户能根据查询特征智能选择搜索方式。目前该功能已在Elastic{ON}活动中展示,开发者可通过文档探索更多定制可能性。(149字)
博客
在 Kibana 中可视化你的 Bosch Smart Home 数据
12-18 483
摘要:shc2es工具可将Bosch智能家居控制器的本地API数据导入Elasticsearch,实现时间序列可视化。该工具通过长轮询获取温度、湿度等设备状态数据,转换为NDJSON格式后存入Elasticsearch,并预置Kibana仪表板展示房间温度变化等指标。安装配置简单,首次运行需配对控制器,支持OpenTelemetry集成监控。用户可自定义查询和可视化,轻松分析智能家居运行数据。(149字)
博客
通过 Elasticsearch 中的 function score query 按利润和受欢迎程度提升电商搜索效果
12-18 912
本文介绍了如何在Elasticsearch中使用function_score查询,将BM25文本相关性与业务指标(如利润率和产品受欢迎度)相结合,优化电商搜索排序。通过field_value_factor和ln1p对数缩放,实现了平滑可控的分数提升,同时保持结果的可解释性。文章提供了具体实现步骤、公式解释和参数调优建议,并比较了与rank_feature方法的差异,最终展示了如何构建兼顾用户需求和业务目标的智能搜索系统。
博客
Elasticsearch:在分析过程中对数字进行标准化
12-17 557
本文探讨了全文搜索中数字标准化处理的问题。针对不同地区数字格式差异(如1.4m和1,4m)、用户输入习惯(点号和逗号混用)以及前导/尾随零等问题,作者提出使用Elasticsearch的keep_types和pattern_replace等token过滤器构建分析链的解决方案。通过正则表达式统一数字格式、去除前导零和简化尾随零,实现了数字的标准化处理。文章还讨论了实际应用中可能遇到的特殊情况(如007与7的区分)和优化建议,强调需要根据具体场景调整处理逻辑。最后指出可通过condition过滤器确保仅对数字
博客
使用 Deepfreeze S3 Glacier 归档来降低 Elasticsearch frozen tier 成本
12-17 878
本文介绍了Elastic推出的Deepfreeze解决方案,帮助用户降低Elasticsearch历史数据的存储成本。通过自动化管理searchable snapshot存储库轮转,Deepfreeze可将已删除索引的数据保留在更便宜的S3 Glacier存储层,同时保持数据可访问性。该工具会定期创建新存储库、更新ILM策略、卸载旧存储库,并将数据自动转移到低成本存储。相比完全保留frozen索引,Deepfreeze可节省高达77%的存储成本,同时满足合规要求,并在需要时支持快速数据恢复。文章详细说明了工
博客
唯一屹立的厂商: Elastic 在 2025 AV-Comparatives 测试中的全面胜出
12-16 1052
Elastic Security在2025年AV-Comparatives商业安全测试中表现卓越,成为唯一在所有测试项目中实现100%防护率的厂商。该平台整合了SIEM、XDR和云安全功能,通过高级行为分析、机器学习模型和专家防护规则,有效抵御零日攻击和复杂威胁。测试结果显示,Elastic在真实环境防护和恶意软件防护测试中均保持完美防护率,优于Microsoft、CrowdStrike等竞争对手。其统一架构支持各类环境部署,提供扩展检测与响应能力,并通过AI驱动的AttackDiscovery功能关联分析
博客
开始使用 Elastic Agent Builder 和 Strands Agents SDK
12-16 968
本文介绍了如何使用ElasticAgentBuilder创建AI代理,并通过A2A协议在StrandsAgentsSDK中进行编排。主要内容包括:1)在Elasticsearch中创建索引并添加RPS+游戏数据;2)使用AgentBuilder创建自定义工具和游戏代理;3)通过StrandsAgentsSDK开发Python应用,实现更完善的游戏逻辑(隐藏代理选择直到玩家出招)。文章提供了详细的操作步骤,展示了如何将Elasticsearch数据与AI代理结合,以及如何使用StrandsAgentsSDK进
博客
亲爱的圣诞老人,这里有一点小小的帮助,献给圣诞节
12-15 671
摘要:圣诞老人采用Elasticsearch技术栈替代传统纸质档案,使用escli-rs命令行工具高效管理全球儿童礼物派送数据。该工具支持快速查询、脚本自动化、CSV导出和智能补全功能,帮助圣诞老人在飞行途中也能轻松查询乖巧名单和礼物偏好。通过.env配置安全连接后,精灵们成功将儿童数据批量导入Elasticsearch集群,使圣诞物流系统实现现代化升级。工具内置的--help功能让复杂的API操作变得简单,确保数十亿礼物准时送达。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值