嗨,我是ELK堆栈的新手。我正在使用Kibana 4.1。我已经设法使用Elasticsearch Query DSL在Kibana的Discover界面中运行搜索来捕获数据集,然后使用该保存的搜索在Kibana中创建新的Visualization和Dashboard小部件。我的Elasticsearch查询看起来像
{
"bool" : {
"must" : [
{
"match" : { "service" : "servicename" }
},
{
"match_phrase" : { "msg" : "Trying to get security token for user: joe" }
}
],
"minimum_should_match" : 1,
"boost" : 1.0
}
}
- 这将捕获用户的任何登录事件:joe。如果我想为用户搜索登录事件:sue我必须将上述查询查询的这一部分更改为
"match_phrase" : { "msg" : "Trying to get security token for user: sue" }
我被问到是否有办法可以使用Kibana Discover选项卡中的Elasticsearch Query DSL或命令行中的curl来创建动态查询,以便我们搜索各种用户的登录事件,然后创建一个新的可视化。
我认为这是可能的,我不确定在Elasticsearch / Kibana中最好的方法是什么。任何人都可以指出我正确的方向如何去做这个?谢谢!
答案 0 :(得分:0)
您可以创建新的信息中心并在其上添加可视化。 之后,您可以在kibana仪表板中将搜索参数添加为查询字符串。
这样,您的仪表板可视化会根据提供的参数进行更改。
希望这有帮助。