- Kibana 教程
- Kibana - 首页
- Kibana - 概述
- Kibana - 环境设置
- Kibana - ELK Stack 简介
- Kibana - 加载示例数据
- Kibana - 管理
- Kibana - 发现
- Kibana - 聚合和指标
- Kibana - 创建可视化
- Kibana - 使用图表
- Kibana - 使用图形
- Kibana - 使用热力图
- 使用坐标地图
- Kibana - 使用区域地图
- 使用仪表和目标
- Kibana - 使用画布
- Kibana - 创建仪表板
- Kibana - Timelion
- Kibana - 开发工具
- Kibana - 监控
- 使用 Kibana 创建报表
- Kibana 有用资源
- Kibana - 快速指南
- Kibana - 有用资源
- Kibana - 讨论
Kibana - 聚合和指标
在学习 Kibana 的过程中,您经常会遇到“桶”和“指标聚合”这两个术语。本章讨论它们在 Kibana 中扮演的角色以及更多详细信息。
什么是 Kibana 聚合?
聚合是指从特定搜索查询或筛选器中获得的文档或一组文档的集合。聚合构成了在 Kibana 中构建所需可视化的主要概念。
每当您执行任何可视化操作时,您都需要确定标准,这意味着您希望以何种方式对数据进行分组以对其执行指标计算。
在本节中,我们将讨论两种类型的聚合:
- 桶聚合
- 指标聚合
桶聚合
一个桶主要由一个键和一个文档组成。执行聚合时,文档将被放置在相应的桶中。因此,最终您应该得到一个桶列表,每个桶都包含一个文档列表。在 Kibana 中创建可视化时将看到的桶聚合列表如下:
桶聚合具有以下列表:
- 日期直方图
- 日期范围
- 过滤器
- 直方图
- IPv4 范围
- 范围
- 重要术语
- 术语
在创建时,您需要为桶聚合决定其中之一,即在桶内对文档进行分组。
例如,为了进行分析,请考虑我们在本教程开始时上传的国家/地区数据。国家/地区索引中可用的字段是国家/地区名称、面积、人口和地区。在国家/地区数据中,我们有国家/地区的名称以及它的人口、地区和面积。
假设我们想要按地区查看数据。那么,每个地区中可用的国家/地区就成为我们的搜索查询,因此在这种情况下,地区将构成我们的桶。下图显示 R1、R2、R3、R4、R5 和 R6 是我们获得的桶,c1、c2…c25 是属于桶 R1 到 R6 的文档列表。
我们可以看到每个桶中都有一些圆圈。它们是基于搜索条件的一组文档,并被认为属于每个桶。在桶 R1 中,我们有文档 c1、c8 和 c15。这些文档是属于该地区的国家/地区,其他地区也是如此。因此,如果我们计算桶 R1 中的国家/地区数量,则为 3,R2 为 6,R3 为 6,R4 为 2,R5 为 5,R6 为 4。
因此,通过桶聚合,我们可以将文档聚合到桶中,并获得这些桶中文档的列表,如上所示。
到目前为止,我们拥有的桶聚合列表为:
- 日期直方图
- 日期范围
- 过滤器
- 直方图
- IPv4 范围
- 范围
- 重要术语
- 术语
现在让我们详细讨论如何逐一形成这些桶。
日期直方图
日期直方图聚合用于日期字段。因此,如果您使用的索引具有日期字段,则只能使用此聚合类型。这是一个多桶聚合,这意味着您可以将某些文档作为多个桶的一部分。此聚合将使用一个间隔,详细信息如下:
当您选择“桶聚合”为“日期直方图”时,它将显示“字段”选项,该选项将仅提供与日期相关的字段。选择字段后,您需要选择间隔,其中包含以下详细信息:
因此,来自所选索引的文档以及基于所选字段和间隔将文档分类到桶中。例如,如果您选择间隔为每月,则基于日期的文档将转换为桶,并基于月份(即 1 月至 12 月)将文档放入桶中。此处,1 月、2 月…12 月将是桶。
日期范围
您需要一个日期字段才能使用此聚合类型。在这里,我们将有一个日期范围,即需要给出起始日期和结束日期。桶将根据给定的起始日期和结束日期包含其文档。
过滤器
使用过滤器类型聚合,桶将根据过滤器形成。在这里,您将获得一个多桶,因为根据过滤器条件,一个文档可以存在于一个或多个桶中。
使用过滤器,用户可以在过滤器选项中编写他们的查询,如下所示:
您可以使用“添加过滤器”按钮添加多个您选择的过滤器。
直方图
此类型的聚合应用于数字字段,它将根据应用的间隔将文档分组到桶中。例如,0-50、50-100、100-150 等。
IPv4 范围
此类型的聚合用于 IP 地址。
我们拥有的索引(即 contriesdata-28.12.2018)没有 IP 类型的字段,因此它会显示如下所示的消息。如果您碰巧拥有 IP 字段,则可以像上面显示的那样指定其“起始”值和“结束”值。
范围
此类型的聚合需要字段为数字类型。您需要指定范围,文档将列在落在该范围内的桶中。
如果需要,您可以通过单击“添加范围”按钮添加更多范围。
重要术语
此类型的聚合主要用于字符串字段。
术语
此类型的聚合用于所有可用字段,即数字、字符串、日期、布尔值、IP 地址、时间戳等。请注意,这是我们将在本教程中进行的所有可视化操作中将使用的聚合。
我们有一个“按”排序选项,我们将根据选择的指标对数据进行分组。“大小”指的是您要在可视化中显示的桶数。
接下来,让我们讨论指标聚合。
指标聚合
指标聚合主要指对桶中存在的文档进行的数学计算。例如,如果您选择一个数字字段,则可以对其执行的指标计算包括 COUNT、SUM、MIN、MAX、AVERAGE 等。
我们将讨论的指标聚合列表如下:
在本节中,让我们讨论一些我们将经常使用的重要内容:
- 平均值
- 计数
- 最大值
- 最小值
- 总和
该指标将应用于我们上面已经讨论过的各个桶聚合。
接下来,让我们在此处讨论指标聚合列表:
平均值
这将给出桶中存在的文档值的平均值。例如:
R1 到 R6 是桶。在 R1 中,我们有 c1、c8 和 c15。假设 c1 的值为 300,c8 为 500,c15 为 700。现在要获得 R1 桶的平均值
R1 = c1 的值 + c8 的值 + c15 的值 / 3 = 300 + 500 + 700 / 3 = 500。
R1 桶的平均值为 500。此处文档的值可以是任何值,例如,如果您考虑国家/地区数据,它可以是该地区国家/地区的面积。
计数
这将给出桶中存在的文档数量。例如,如果您想要知道该地区存在的国家/地区数量,它将是桶中存在的总文档数。例如,R1 为 3,R2 = 6,R3 = 5,R4 = 2,R5 = 5,R6 = 4。
最大值
这将给出桶中存在的文档的最大值。考虑到上面的例子,如果我们在地区桶中按面积划分国家/地区数据。每个地区的最大值将是面积最大的国家/地区。因此,它将从每个地区(即 R1 到 R6)中包含一个国家/地区。
在
这将给出桶中存在的文档的最小值。考虑到上面的例子,如果我们在地区桶中按面积划分国家/地区数据。每个地区的最小值将是面积最小的国家/地区。因此,它将从每个地区(即 R1 到 R6)中包含一个国家/地区。
总和
这将给出桶中存在的文档值的总和。例如,如果您考虑上面的例子,如果我们想要知道该地区的总面积或国家/地区数量,它将是该地区中存在的文档的总和。
例如,要了解地区 R1 中的国家/地区总数,它将是 3,R2 = 6,R3 = 5,R4 = 2,R5 = 5,R6 = 4。
如果我们在该地区有包含面积的文档,那么 R1 到 R6 将对该地区的国家/地区面积进行求和。