Kibana垂直条形图

时间:2016-06-16 17:14:51

标签: elasticsearch logstash kibana kibana-4 elastic-stack

我已经设置了ELK堆栈,并且以下类型的JSON存储在elasticsearch中(从Kibana UI复制JSON之后)。

现在我想显示垂直条形图,当“action”等于“passthrough”时,它将具有Top 5“hostname”

{
    "_index": "logstash-2016.06.16",
    "_type": "utm",
    "_id": "AVVaFcaB7mNsx5uOb1-_",
    "_score": null,
    "_source": {
        "message": "<190>date=2016-06-16 time=22:10:26  hostname=\"googleads.g.doubleclick.net\" profile=\"Software_Dept\" action=passthrough",
        "@version": "1",
        "@timestamp": "2016-06-16T16:40:24.284Z",
        "hostname": "googleads.g.doubleclick.net",
        "profile": "Software_Dept",
        "action": "passthrough"
    },
    "fields": {
        "@timestamp": [
            1466095224284
        ]
    },
    "sort": [
        1466095224284
    ]
}

我被困在这里,能够显示前5个主机名但是它们没有被“动作”过滤等于“直通”。

enter image description here

2 个答案:

答案 0 :(得分:1)

有几种解决方案,因为您需要在操作记录中添加过滤器= passthrough。

  1. 转到发现页面并输入搜索查询: -

    2. 行动:直通

    1. 在“发现”页面中,您可以从字段列表面板中选择过滤器,您可以在其中单击字段名称即操作,然后选择与直通名称对应的正放大镜(按钮)。

    2. 您还可以通过观察“发现”页面中的记录创建过滤器,然后单击与字段和值名称对应的正放大镜按钮。

      3. 您甚至可以固定将在Kibana的各个标签中保留的过滤器,例如,如果您在“发现”页面中创建过滤器,如果您打开“可视化”或“仪表板”页面,则会添加过滤器。

      1. 直接在您的可视化文件中,您可以添加过滤器聚合或子聚合指定操作:passthrough。

答案 1 :(得分:1)

转到“发现”页面并输入搜索查询:action:passthrough

在发现页面中输入查询后,保存当前搜索:
Kibana documentation

然后在创建可视化时,在选择可视化类型后,使用&#34;从已保存的搜索&#34;选择您创建的搜索 在这种情况下,只有搜索中的文档才会出现在图表上。

相关问题
最新问题