Kibana - Timelion

---

---

Timelion，也称为时间线，是另一个可视化工具，主要用于基于时间的数据分析。要使用时间线，我们需要使用简单的表达式语言，这将帮助我们连接到索引并对数据执行计算以获得所需的结果。

我们可以在哪里使用 Timelion？

当您想要比较时间相关数据时，可以使用 Timelion。例如，您有一个网站，每天都会获得访问量。您想分析数据，其中您想将当前周的数据与上一周进行比较，即星期一与星期一，星期二与星期二，依此类推，查看访问量有何不同以及流量。

Timelion 入门

要开始使用 Timelion，请单击如下所示的 Timelion：

Timelion 默认显示所有索引的时间线，如下所示：

Timelion 使用表达式语法。

注意 - es(*) => 表示所有索引。

要获取可用于 Timelion 的函数的详细信息，只需单击如下所示的文本区域：

它会为您提供可用于表达式语法的函数列表。

一旦您开始使用 Timelion，它就会显示一条欢迎消息，如下所示。突出显示的部分，即“跳转到函数参考”，提供了可用于 timelion 的所有函数的详细信息。

Timelion 欢迎消息

Timelion 欢迎消息如下所示：

单击“下一步”按钮，它将引导您完成其基本功能和用法。现在，当您单击“下一步”时，您可以看到以下详细信息：

Timelion 函数参考

单击“帮助”按钮以获取 Timelion 可用的函数参考的详细信息：

Timelion 配置

Timelion 的设置在 Kibana 管理 -> 高级设置中完成。

单击“高级设置”，然后从“类别”中选择 Timelion。

选择 Timelion 后，它将显示 Timelion 配置所需的所有必要字段。

在以下字段中，您可以更改要用于索引的默认索引和时间字段：

默认值为 _all，时间字段为 @timestamp。我们将保持不变，并在 timelion 本身中更改索引和时间字段。

使用 Timelion 可视化数据

我们将使用索引：medicalvisits-26.01.2019。以下是 2017 年 1 月 1 日至 2017 年 12 月 31 日 Timelion 显示的数据：

上面可视化使用的表达式如下：

.es(index=medicalvisits-26.01.2019,timefield=Visiting_Date).bars()

我们使用了索引 medicalvisits-26.01.2019，该索引上的时间字段是 Visiting_Date，并使用了 bars 函数。

在下面，我们分析了 2017 年 1 月份的 2 个城市，按天分析。

使用的表达式为：

.es(index=medicalvisits-26.01.2019,timefield=Visiting_Date, 
q=City:Sabadell).label(Sabadell),.es(index=medicalvisits-26.01.2019,
timefield=Visiting_Date, q=City:Terrassa).label(Terrassa)

此处显示了 2 天的时间线比较：

表达式

.es(index=medicalvisits-26.01.2019,timefield=Visiting_Date).label("August 2nd 2018"),
.es(index=medicalvisits-26.01.2019,timefield=Visiting_Date,offset=-1d).label("August 1st 2018")

在这里，我们使用了 offset 并给出了 1 天的差值。我们选择了 2018 年 8 月 2 日作为当前日期。因此，它提供了 2018 年 8 月 2 日和 2018 年 8 月 1 日的数据差异。

以下是 2017 年 1 月份前 5 个城市的列表。我们在此处使用的表达式如下：

.es(index=medicalvisits-26.01.2019,timefield=Visiting_Date,split=City.keyword:5)

我们使用了 split 并给出了字段名称 City，由于我们需要索引中的前五个城市，因此我们将其指定为 split=City.keyword:5

它给出了每个城市的计数，并列出了其名称，如绘制的图表所示。