kibana做图表无法选取需要选的字段

Kibana字段索引问题
最新推荐文章于 2023-08-03 20:00:06 发布
转载 最新推荐文章于 2023-08-03 20:00:06 发布 · 5.9k 阅读 · 1
文章标签:

#kibana #看不到字段 #visualize

http://www.07net01.com/2015/12/1069635.html


kibana做图表无法选取需要选的字段,即通过term的方式过滤选择某一个field时发现列表里无此选项。

wKiom1aFAWuSYiPXAAAaSCMrdEo742.gif

 

再去discover里看,发现此字段前面带有问号,点击后提示这个字段未做索引,不能用于visualize和discover的搜索。

思考:

从源头查起,日志是logstash收集上来的,猜想可能原因是logstash需要按照某些规则添加这个索引,于是把目光聚焦到logstash的filter

这里我用的是grok,猜测是不是在message匹配后需要再用add_field添加才行。

尝试:

添加add_field后发现不行(确切的说是我add_field用的不太好,写的不对),然后百度相关grok格式发现,不需要添加add_field即可把字段作搜索使用。

尝试失败。

再思考:

排除logstash,后面就是elasticsearch了,这个本身基本未做改动,排除,再就是kibana,突然想到看看之间写的tomcat错误堆栈日志字段是否能正常可搜索,查看发现其日志字段时可以用的,反过头再去比对了下logstash底层发现两者写法和patterns定义均无区别,到了这里基本可以确定为kibana的设置问题了。

尝试:

查阅官方文档kibana相关配置位置,尝试查看了setting,果然发现在index里找到了相关项:

wKiom1aFAW-j0Bx7AADa7MWGOTM207.gif

刷新后字段就被索引上了,相当于在kibana中如果索引建立后,再通过logstash添加新字段时,需要在这边刷新以更新状态。

之后便可正常使用此字段了。

至此问题解决。

本文出自 “苍穹KILL” 博客,请务必保留此出处http://1645027.blog.51cto.com/1635027/1730540



通过kibana操作elasticsearch
kamil的博客
07-29 638
通过kibana操作es method url地址 描述 PUT ip:9200/索引名称/类型名称/文档id 创建文档(指定文档id) POST ip:9200/索引名称/类型名称 创建文档(随机文档id) POST ip:9200/索引名称/类型名称/文档id/_update 修改文档 DELETE ip:9200/索引名称/类型名称/文档id 删除文档 GET ip:9200/索引名称/类型名称/文档id 通过文档id查询文档 POST ip:9200/索引名称/类
Kibana可视化
Token
03-13 2859
Kibana可视化设置 加载数据 在你开始之前:加载案例数据 本段教程依赖如下数据集: 莎士比亚的所有著作,合适地解析成了各个字段:shakespeare.json。 随机生成的虚构账号数据:accounts.json 随机生成的日志文件:logs.jsonl 认识数据 数据格式 莎士比亚数据集由如下数据格式组织 { "line_id": INT...
Nginx访问日志采集分析之一:Kibana图表展示无法择需要的字段
那个那个
07-21 493
Nginx访问日志采集分析之一:Kibana图表展示无法择需要的字段 一、问题描述 最近在Nginx日志收集分析图形展示,将日志收集到ELK了,但是通过kibana制作图表展示时无法择需要的字段! 如下图所示: 该索引是有uri这个字段的! 但是该字段显示是问好,无法识别字段类型! 二、解决办法 依次打开:Stack Management Index patterns 找到索引:nginx_cmdebitcard* 刷新字段列表 查看是否生效 ...
kibana界面中的可字段中#号,?问号,t这些字符的含义
太阳花先生可爱多的专栏
08-21 4185
字段类型: #代表 number t 代表 text ? unknown ,need to refresh fields from index pattern 此字段前面带有问号,点击后提示这个字段索引,不能用于visualize和discover的搜索。 应该是表示该字段索引 在 Kibana 中打开“发现(discover)”页面时,您可能会在“可用字段(Available fie...
kibana中已存在的字段在avaliable中类型显示问号,无法visualize中使用
QYHuiiQ
03-03 1140
kibana中在discover页面数据展示的左侧有一项是avaliable fileds,每个字段前面会有不同的标识,如t,?,时钟。。。。 表示的含义参考: https://blog.youkuaiyun.com/yy4545/article/details/99936007 如果字段左边是一个?,说明这个字段索引,需要在index pattern页面进行刷新。否则无法visualize中使用...
kibana连接es时discover没有需要的字段但是索引里又有时
奔跑的菜鸡
08-09 1613
有时候会遇到在kibana中要过滤的时候,没有想要的字段,但是那个字段的确是存在的。 这个时候可以发现这个字段的后面有一个问号。我这儿是因为这个字段是在index创建之后再添加的,所以不再列表里。这个时候只需要刷新一下就好了。 ...
Kibana运动学模型研究:字段过滤与数据分析
"Kibana是Elasticsearch的数据可视化工具,它允许用户通过图表和图形来探索和理解存储在Elasticsearch中的大数据。本资源主要关注Kibana中的字段过滤功能,以及如何使用这一功能进行数据筛和分析。此外,提到了...
Kibana上格式化字段,更好的在dashboard上展示
09-10 1026
一、为什么要格式化? 接着之前的文章-利用 ELK系统分析Nginx日志并对数据进行可视化展示。下面是http访问的日志,里面有一个字段,bytes 传输的字节,如下图: 绿色框框内中的就是本次请求的传输大小,590byte,但是在画图统计后,显示的不太直观。如果能转换成KB/MB/GB那样就比较直观了。。。 二、如何格式化? 1.主要步骤 进入Settings...
图表定制:Kibana高效数据表达的终极技巧
本文旨在全面介绍Kibana图表定制的理论基础、实践操作及高级主题,并提供案例研究与实战技巧。文章首先回顾了数据可视化的基本原则和Kibana图表类型,然后深入探讨了定制技巧、数据处理以及样式与功能的扩展。随后,...
kibana 统计在线用户
04-01
2. 选取适合显示活跃用户数目的图表示意形式,如 Metric 图表或 Gauge 图表。 3. 设置聚合方式为 Count 并指定用于识别唯一用户的字段(假设该字段名为 user_id),这样就可以计算特定时间段内的不同用户总数。 4. ...
kibana字段类型变化
sky527759的博客
11-07 1535
kibana需要显示当字段出现多个类型时,就会出现conflict,甚至会导致kibana无法显示后续当新日志,可以通过将存有该字段旧类型的表删除,让kibana重新对这个字段建立索引,日志数据第一次上传时,kibana会对数据字段建立索引,包括数据的类型,所以只要让kibana重新建立索引,kibana就能显示新的日志数据了 ...
Kibana 使用简介及查询条件示例
lonelymanontheway的博客
03-02 1万+
kibana语法
Kibana 控制台常用语法
SirLZF的博客
02-18 3520
首先列一下官网说明:https://www.elastic.co/guide/cn/kibana/current/console-kibana.html
Kibana查询语法使用手册
weixin_37738830的博客
08-03 3272
设置权重使用“”符号,将“”放于查询词的尾部,同时跟上权重值,权重因子越大,该词越重要。dt:[“2016-06-25” TO “2016-08-25”],返回"2016-06-25"≤ dt ≤"2016-08-25"的文档。dt:{“2016-06-25” TO “2016-08-25”},返回"2016-06-25"< dt <"2016-08-25"的文档。dt:{“2016-06-25” TO “2016-08-25”],返回"2016-06-25"< dt ≤"2016-08-25"的文档。
Kibana数据表格
youn9e的博客
06-17 1604
Kibana数据表格初步使用 无论哪种可视化,必须先设置索引模式。 Kibana语言本地化,在其配置文件添加如下: i18n.locale: "zh-CN" 1 设置索引模式 进入 Kibana 首页,点击左上角菜单按钮,在菜单中择 Stack Management 项: 然后择索引模式项: 新建索引模式: 索引模式可以匹配到索引的名字。下一步设置时间筛的时间字段: 点击创建按钮创建完成。如果要修改字段的显示Label,点击对应的索引模式,点击字段上的铅笔图标,进入编辑页面,设定定制标签的
Kibana下使用ES查询
兰星_thk&try的博客
01-01 1万+
Kibana下使用ES api查询数据
elasticsearch可视化kibana中索引字段不显示
The palest ink is better than the best memory
12-26 1万+
一 、问题描述索引结构如下图所示:其中ipcid对应的是数据采集设备的编号,我想要在kibana中统计各个设备下的数据量并通过饼图展示。于是,根据kibana操作流程: 1.首先创建visualize,择饼状图。如下图所示: 2.择需要操作的index 3.择索引后,界面会自动跳到如下界面: 4.接下来就是择需要统计的字段,就是前面所说的ipcid。点击Split slices->A
Kibana:如何在 Search Bar 中实现模糊查询及通配符查询
热门推荐
Elastic 中国社区官方博客
11-04 2万+
我们知道在 Kibana 中,我们可以实现三种搜索 DSL 搜索,你可以参照我之前的文章 “开始使用Elasticsearch (2)” 进行详细了解 KQL 搜索,你可以参照我之前的文章 “Kibana: 如何使用 Search Bar” Lucene 搜索,你可以参照我之前的文章 “Kibana: 如何使用 Search Bar” 在这三种搜索方法中,DSL 以及 Lucene 搜索可以支持模糊查询 (fuzziness) 以及 通配符查询 (Regex)。KQL 是 Search Bar 的默认
elasticsearch使用kibana基本操作
夜一
05-20 463
1.创建索引 PUT /索引名/类型名/ID {请求体} 2.创建类型 类型: 字符串类型:text、keyword 数字类型:long、integer、short、byte、double、float、half float、scaled float 日期类型:date 布尔值类型:boolean 二进制类型:binary 不指定类型,会有默认的类型 3.修改:可以使用PUT.(不建议),也可以使用POST 第二次执行,版本变为2,(覆盖操作:如果漏了age没写,数据就会变为空..
kibana可视化,求两个字段乘积的和
最新发布
08-27
<think>我们是在Kibana中进行可视化,要求两个字段乘积的和。 在Kibana中,我们可以使用聚合来实现。具体来说,我们可以使用脚本化度量(Scripted Metric)或者使用运行时字段(Runtime Field)结合Sum聚合。 但是,由于我们需要计算两个字段乘积的和,这实际上是一个点积(dot product)运算。 步骤: 1. 在Kibana中创建可视化(如数据表、指标等)。 2. 使用聚合方式,择“Sum of Products”或者通过脚本来实现。 然而,Kibana本身并没有直接提供两个字段乘积求和的聚合。因此,我们可以采用以下两种方法之一: 方法一:使用运行时字段(Runtime Field) - 创建一个运行时字段,其值为两个字段的乘积,然后对该运行时字段进行求和。 方法二:使用脚本化度量聚合(Scripted Metric Aggregation) - 在脚本化度量聚合中,我们可以编写脚本来遍历所有文档,计算每个文档两个字段的乘积,然后累加。 由于在Kibana的可视化界面中,我们通常使用“Lens”或者“Aggregation based”的可视化(如Data Table),这里我们分别说明。 注意:在Kibana 7.12及以上版本中,支持了运行时字段,这可能是更简单的方法。 方法一(运行时字段)步骤: 1. 在索引模式中创建运行时字段(或者在Discover中创建临时运行时字段): 名称:product 类型:Double 脚本:emit(doc['field1'].value * doc['field2'].value) 2. 然后在可视化中,使用Sum聚合,对运行时字段product进行求和。 方法二(脚本化度量聚合)步骤(在可视化类型为“Metric”或“Data Table”中使用): 1. 创建一个新的聚合,择类型为“Scripted Metric”。 2. 在脚本中编写代码,初始化一个变量(如sum),在每一份文档中计算乘积并累加,最后返回总和。 下面我们以方法一(运行时字段)为例,因为其更简单且性能较好(如果数据量很大,运行时字段在查询时计算,可能会影响性能,但实现简单)。 但是,如果是在Elasticsearch中直接查询,我们可以使用以下聚合: ```json { "aggs": { "total_product": { "sum": { "script": { "source": "doc['field1'].value * doc['field2'].value" } } } } } ``` 在Kibana中,我们可以在可视化构建器中择“Sum”聚合,然后使用脚本: 步骤(在Aggregation based可视化中,如Data Table): 1. 添加一个聚合,择“Sum”。 2. 在字段择的地方,择“Scripted Field”(或者直接输入脚本)。 3. 输入脚本:`doc['field1'].value * doc['field2'].value` 4. 注意:确保field1和field2是数值类型,否则需要转换。 但是,在Kibana的Lens可视化中(更直观): 1. 进入Lens。 2. 在数据面板中,点击“Add field”。 3. 择“Create a field”,输入名称(如product),然后输入公式:`field1 * field2`(注意:Lens的运行时字段支持Painless脚本,但也可以使用表达式,较新版本支持公式)。 4. 创建后,在图表择该字段,然后择聚合函数为“Sum”。 具体操作可能因Kibana版本而异。 由于问题中没有指定具体版本,我们以较新的版本(支持Lens和运行时字段)为例。 因此,总结如下: 在Kibana中计算两个字段乘积的和: 1. 创建一个运行时字段,计算两个字段的乘积。 2. 在可视化中,对该运行时字段使用Sum聚合。 注意:如果数据量很大,考虑在索引中预先计算并存储这个乘积字段,以提高性能。 示例(在Discover中创建运行时字段,然后在可视化中使用): 步骤1:进入Discover,择索引模式。 步骤2:点击“Add a field”,输入名称(如product),类型择Double,然后输入脚本: ```groovy if (doc['field1'].size()>0 && doc['field2'].size()>0) { def f1 = doc['field1'].value; def f2 = doc['field2'].value; return f1 * f2; } else { return 0; } ``` 或者更简单(如果字段都存在): ```groovy emit(doc['field1'].value * doc['field2'].value); ``` 注意:在运行时字段中,使用emit函数(在Kibana中创建运行时字段时,脚本格式可能有所不同,有些版本使用return,有些版本使用emit。在Kibana7.12+中,创建运行时字段的脚本是使用return的,而不使用emit。具体请参考版本文档。) 在Kibana 7.12及以上版本中,创建运行时字段的脚本格式如下: ```groovy return doc['field1'].value * doc['field2'].value; ``` 步骤3:保存运行时字段(可以是临时的,也可以是保存到索引模式中)。 步骤4:进入可视化,择该索引模式,然后添加一个Metric或者Data Table可视化。 步骤5:添加一个聚合,择“Sum”,字段择刚刚创建的运行时字段“product”。 这样,就可以得到两个字段乘积的和。 注意:如果字段是整数,需要确保乘法不会溢出,如果字段可能是null,则需要进行处理。 因此,我们推荐使用运行时字段的方法。 如果是在Lens中: 1. 打开Lens,择索引模式。 2. 在左侧的字段列表中,点击“Add field”。 3. 输入名称(如product),然后输入公式:`field1 * field2`(如果支持公式的话,否则使用上面的脚本方式)。 4. 在图表配置中,将“product”字段拖到指标区域,并择聚合函数为“Sum”。 注意:在Lens中,如果使用公式,可以直接输入表达式。 因此,根据Kibana版本择合适的方式。 如果版本较旧(不支持运行时字段),则需要在查询时使用脚本聚合,即在可视化中直接使用脚本。 在“Metric”可视化中: 1. 创建Metric可视化,择索引模式。 2. 点击“Add metric”,择“Custom metric”。 3. 在“Custom metric”中择“Scripted metric”。 4. 在脚本中编写代码(注意:脚本化度量聚合有四个阶段:init, map, combine, reduce)。 脚本化度量聚合的示例脚本: ```groovy // 初始化 state.products = 0.0; // 每份文档执行 return { map: (doc, state) => { state.products += doc['field1'].value * doc['field2'].value; }, combine: (state) => state.products, reduce: (states) => states.reduce((a, b) => a + b, 0) } ``` 但是,在Kibana的可视化构建器中,脚本化度量聚合的编写较为复杂,且容易出错,因此推荐使用运行时字段的方法。 综上所述,我们优先采用运行时字段方法。 最后,注意:如果两个字段中有一个是空值,那么乘积会变成0?或者需要跳过?这取决于业务需求。在脚本中,我们可以处理空值,例如: ```groovy if (doc['field1'].size()==0 || doc['field2'].size()==0) { return 0; } else { return doc['field1'].value * doc['field2'].value; } ``` 因此,根据实际需求调整。 在Kibana中实现两个字段乘积的和,核心是使用脚本计算每个文档的乘积,然后求和。 由于问题要求使用中文回答,并且需要在最后提出3-5个相关问题,下面将按照格式输出。</think># Kibana 可视化:计算两个字段乘积的总和 在 Kibana 中计算两个字段乘积的总和,可以通过以下两种主要方法实现: ## 方法一:使用运行时字段(Runtime Field) ```json PUT /your_index/_mapping { "runtime": { "product": { "type": "double", "script": { "source": "emit(doc['field1'].value * doc['field2'].value)" } } } } ``` 1. **创建可视化**: - 进入 KibanaVisualize → Create visualization - 择 "Lens" 可视化类型 - 择包含数据的索引模式 2. **配置聚合**: - 在 "Data" 面板中,择 "product" 运行时字段 - 设置聚合类型为 "Sum" - 将结果添加到可视化中 ## 方法二:使用脚本化指标聚合(Scripted Metric Aggregation) ```json POST /your_index/_search { "size": 0, "aggs": { "total_product": { "scripted_metric": { "init_script": "state.products = 0.0", "map_script": """ double field1 = doc['field1'].value; double field2 = doc['field2'].value; state.products += field1 * field2; """, "combine_script": "return state.products", "reduce_script": "double sum = 0; for (s in states) { sum += s } return sum" } } } } ``` ### 在 Kibana 可视化中配置: 1. 创建新的可视化 2. 择 "Metric" 类型 3. 添加新的聚合: - 类型:Scripted Metric - 使用上述脚本配置 4. 保存并查看结果 ## 使用 Lens 直接计算(Kibana 7.12+) 1. 打开 Lens 可视化 2. 点击 "Add field" → "Create field" 3. 输入公式:`field1 * field2` 4. 命名新字段(如 "product") 5. 在可视化中: - 择 "product" 字段 - 设置聚合为 "Sum" - 添加到可视化 ## 最佳实践建议: 1. **性能考虑**: - 对于大数据集,优先使用运行时字段 - 在索引中预计算乘积字段(如使用 Elasticsearch Ingest Pipeline) 2. **错误处理**: - 添加空值检查:`if (doc['field1'].size() > 0 && doc['field2'].size() > 0)` - 处理非数值类型:`Double.parseDouble(doc['field1'].value.toString())` 3. **可视化优化**: - 使用 "Data Table" 显示每个文档的乘积值 - 添加 "Sum" 指标作为最终结果 - 结合时间序列分析展示乘积变化趋势 ## 示例场景: 假设有字段: - `price`(价格) - `quantity`(数量) 计算总销售额:`sum(price * quantity)` **结果展示**: ``` 总销售额: $12,450.75 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值