📅  最后修改于: 2020-11-30 05:16:49             🧑  作者: Mango
在学习Kibana时经常遇到的两个术语是“存储桶”和“度量标准聚合”。本章讨论了他们在Kibana中扮演的角色,以及有关它们的更多详细信息。
汇总是指从特定搜索查询或过滤器中获得的文档或一组文档的集合。聚合是在Kibana中构建所需可视化效果的主要概念。
无论何时执行任何可视化,都需要确定条件,这意味着您希望以哪种方式对数据进行分组以对其执行度量。
在本节中,我们将讨论两种类型的聚合-
桶主要由钥匙和文件组成。执行汇总时,文档将放置在相应的存储桶中。因此,最后应该有一个存储桶列表,每个存储桶都包含一个文档列表。在Kibana中创建可视化时将看到的存储桶聚合列表如下所示-
桶聚合具有以下列表-
在创建时,您需要为存储桶聚合确定其中之一,即将文档分组到存储桶中。
例如,为了进行分析,请考虑我们在本教程开始时上传的国家/地区数据。国家索引中可用的字段是国家名称,区域,人口,地区。在国家/地区数据中,我们具有国家/地区的名称以及其人口,地区和地区。
让我们假设我们需要区域明智的数据。然后,每个区域中可用的国家/地区成为我们的搜索查询,因此在这种情况下,该区域将构成我们的存储桶。下面的框图显示,R1,R2,R3,R4,R5和R6是我们得到的存储桶,而c1,c2..c25是作为存储桶R1至R6的一部分的文档列表。
我们可以看到每个存储桶中都有一些圆圈。它们是基于搜索条件的文档集,并被认为属于每个存储桶。在存储桶R1中,我们有文档c1,c8和c15。这些文件是属于该地区的国家,其他国家也一样。因此,如果我们对存储区R1中的国家/地区进行计数,则为3,R2为6,R3为6,R4为2,R5为5,R6为4。
因此,通过存储桶聚合,我们可以将文档聚合到存储桶中,并在这些存储桶中具有文档列表,如上所示。
到目前为止,我们的“桶聚合”列表为-
现在,让我们详细讨论如何一一形成这些桶。
日期直方图聚合用于日期字段。因此,用于可视化的索引(如果该索引中具有日期字段)则只能使用此聚合类型。这是一个多存储桶聚合,这意味着您可以将一些文档作为多个存储桶的一部分。有一个用于此聚合的时间间隔,详细信息如下所示-
当您选择“存储桶聚合”作为“日期直方图”时,它将显示“字段”选项,该选项将仅提供与日期相关的字段。选择字段后,您需要选择具有以下详细信息的时间间隔-
因此,来自选定索引的文档以及基于选定字段和间隔的文档将对存储桶中的文档进行分类。例如,如果您选择时间间隔为每月,则基于日期的文档将转换为存储桶,并基于月份(即1月至12月)将文档放入存储桶。在这里Jan,Feb,.. Dec将是水桶。
您需要一个日期字段才能使用此聚合类型。在这里,我们将有一个日期范围,即要给出的日期和日期。这些水桶将根据给定的形式和日期提供其文件。
使用过滤器类型聚合时,将基于过滤器形成存储桶。在这里,您将获得一个基于过滤条件的多桶形式,一个文档可以存在于一个或多个桶中。
使用过滤器,用户可以在过滤器选项中编写其查询,如下所示:
您可以使用“添加过滤器”按钮添加多个选择的过滤器。
这种类型的聚合应用于数字字段,它将根据应用的间隔将文档分组到存储桶中。例如0-50,50-100,100-150等。
此类聚合被使用,并且主要用于IP地址。
我们拥有的索引为contriesdata-28.12.2018没有IP类型的字段,因此它显示一条消息,如上所示。如果碰巧有IP字段,则可以如上所示在其中指定From和To值。
这种类型的聚合需要字段为数字类型。您需要指定范围,文档将在该范围内的存储桶中列出。
如果需要,可以单击“添加范围”按钮来添加更多范围。
这种类型的聚合通常用于字符串字段。
在所有可用字段(即数字,字符串,日期,布尔值,IP地址,时间戳等)上使用这种类型的聚合。请注意,这是我们将在此将要进行的所有可视化中使用的聚合教程。
我们有一个选择顺序,根据该选择顺序,我们将根据选择的指标对数据进行分组。大小是指您要在可视化中显示的存储桶数。
接下来,让我们讨论度量聚合。
指标汇总主要是指对存储桶中存在的文档进行的数学计算。例如,如果您选择一个数字字段,则可以在其上执行的指标计算为COUNT,SUM,MIN,MAX,AVERAGE等。
我们将在此处给出度量聚合的列表-
在本节中,让我们讨论我们将经常使用的重要-
该指标将应用于我们上面已经讨论过的单个存储桶聚合。
接下来,让我们在这里讨论指标聚合列表-
这将给出存储桶中存在的文档值的平均值。例如-
R1至R6是铲斗。在R1中,我们有c1,c8和c15。考虑c1的值为300,c8的值为500,c15的值为700。现在,获取R1存储桶的平均值
R1 = c1的值+ c8的值+ c15的值/ 3 = 300 + 500 + 700/3 = 500。
铲斗R1的平均值为500。在这里,文档的价值可能类似于您考虑的国家/地区数据,可能是该地区的国家/地区。
这将提供存储桶中存在的文档数。假设您想要该区域中存在的国家/地区的计数,它将是存储桶中存在的文档总数。例如,R1将为3,R2 = 6,R3 = 5,R4 = 2,R5 = 5且R6 = 4。
这将给出存储桶中存在的文档的最大值。考虑上面的示例,如果我们在区域存储桶中有按地区划分的国家/地区数据。每个区域的最大值将是具有最大面积的国家/地区。因此,每个区域(即R1至R6)将有一个国家/地区。
这将给出存储桶中存在的文档的最小值。考虑上面的示例,如果我们在区域存储区中有按地区划分的国家/地区数据。每个区域的最小值将是面积最小的国家/地区。因此,每个区域(即R1至R6)将有一个国家/地区。
这将给出存储桶中存在的文档值的总和。例如,如果您考虑上面的示例,如果我们想要该区域中的总区域或国家/地区,则将是该区域中存在的文档的总和。
例如,要知道区域R1中的国家总数为3,R2 = 6,R3 = 5,R4 = 2,R5 = 5和R6 = 4。
如果我们的文档的区域面积大于R1至R6,则将对该区域的国家范围进行汇总。