>我有一个索引,其中包含有关某些对象的信息。我想在我的 Kibana 的 dasboard 上显示一些信息。假设一个对象如下所示:
{
"_index": "obj",
"_type": "_doc",
"_id": "KwDPAHABfo5V345r4IYV",
"_version": 1,
"_score": 0,
"_source": {
"value_1": "some value",
"value_2": "some_other value",
"owner": "jason",
"modified_date": "2020-02-01T12:53:08.210317+00:00",
"created_date": "2020-02-01T12:53:08.243980+00:00"
}
}
我需要显示具有owner: 'UNKNOWN'的对象(实时(数量。问题是,这个值随时间而变化。每个更改都是一个新文档 - 它们不会更新。我需要跟踪当前我看到的未知所有者的数量。更新(新文档(以固定的时间间隔发送给麋鹿。 当我尝试设置指标时,它有时会在一次更新和另一次更新之间的窗口中显示 0 - 当没有文档流入 elk 时。如何使 Kibana 仅显示带有owner: 'UNKNOWN'的最后一个文档?
如何使 Kibana 仅显示所有者为"未知"的最后一个文档?
您可以为此设置数据表可视化效果,作为一维指标可视化的替代方法。
这是我个人配置数据表的方式:
- 使用"所有者(.关键字(未知"设置过滤器。
- 在字段上使用"热门点击"指标created_date(或@timestamp,由您决定(而不是计数指标。
- 根据时间戳字段将顺序设置为降序。 拆分要在行
- 中显示的每个字段的行(术语聚合(。这将在表中创建"列"。
- 转到选项选项卡并启用对所有行的总和的计数。
- 设置适当的时间间隔,例如最近 1 小时。
这将显示字段所有者等于 UNKNOWN 的文档的所有相关数据。此外,您还会按降序看到这些文档的引入/创建日期时间戳。此外,您会看到匹配的文档数量(如上所述通过选项选项卡配置(。
我希望我能帮助你。