我为几个组件构建系统,在这些分支上有一些分支和一些作业。事件的典型JSON看起来或多或少(我删除了不相关的信息):
{
"_index": "logstash-2015.04.08",
"_type": "time",
"_id": "AUyeQ2u19d6vbBbSmlDE",
"_score": null,
"_source": {
"@timestamp": "2015-04-08T02:34:17.000Z",
"column6": "component1",
"column7": "trunk",
"column8": "['x86', 'UT']",
"column10": 500
},
"fields": {
"@timestamp": [
1428460457000
]
},
"sort": [
1428460457000
]
}
我想基于以下查询构建Area Chart:一个特定分支(column7)和一个特定组件(column6)。每种作业类型(第8列)都会提供位于第10列的值。怎么做?
答案 0 :(得分:1)
首先创建一个面积图,其中Y轴为column10的总和,平均值,最小值或最大值。
接下来在X轴上,在@timestamp字段上创建日期直方图。
使用split area或terms子聚合添加filter聚合的子聚合。如果您选择terms,请选择字段column6以及您想要查看的值。
如果您选择filter聚合,则可以输入任意数量的过滤器(因此您不必依赖这些条款)。例如,如果您只想查看column6中的两个特定值。你可以放一个column6:component1和另一个column6:component2的过滤器。