Kibana 中的垂直条形图

Question

我已经设置了 ELK 堆栈，并且以下类型的 JSON 正在存储在 elasticsearch 中（以下 JSON 是从 Kibana UI 复制的）。

现在我想显示当 "action" 等于 "passthrough"

时，前 5 个 "hostname" 的垂直条形图

{
    "_index": "logstash-2016.06.16",
    "_type": "utm",
    "_id": "AVVaFcaB7mNsx5uOb1-_",
    "_score": null,
    "_source": {
        "message": "<190>date=2016-06-16 time=22:10:26  hostname=\"googleads.g.doubleclick.net\" profile=\"Software_Dept\" action=passthrough",
        "@version": "1",
        "@timestamp": "2016-06-16T16:40:24.284Z",
        "hostname": "googleads.g.doubleclick.net",
        "profile": "Software_Dept",
        "action": "passthrough"
    },
    "fields": {
        "@timestamp": [
            1466095224284
        ]
    },
    "sort": [
        1466095224284
    ]
}

我被困在这里，能够显示前 5 个主机名，但它们未被过滤 "action" 等于 "passthrough"。

Answer 1

有几个解决方案，因为您需要为 action=passthrough 的记录添加过滤器。

转到发现页面并输入搜索查询：-

action:passthrough

在“发现”页面中，您可以 select 字段列表面板中的过滤器，其中您可以单击字段名称，即操作和 select 正放大镜（按钮）对应直通名称。
您也可以通过观察“发现”页面中的记录并单击与字段和值名称对应的正放大镜按钮来创建过滤器。

您甚至可以固定将在 Kibana 的各个选项卡中持续存在的过滤器，即如果您在发现页面中创建过滤器，则无论何时打开可视化或仪表板页面都会添加该过滤器。

您可以直接在可视化中添加过滤器聚合或子聚合，指定 action:passthrough。

Answer 2

转到发现页面并输入搜索查询：action:passthrough

在发现页面中输入查询后，保存当前搜索：
Kibana documentation

然后在创建可视化时，在 select 可视化类型之后，您可以使用 "From a saved search" 来 select 您创建的搜索。
在这种情况下，只有来自搜索的文档会出现在图表上。

Kibana 中的垂直条形图

Vertical bar chart in Kibana

elasticsearch

logstash

kibana

kibana-4

elastic-stack