作者:Matthias Polman-Wilhelm

引入新的增强型数据表、字段统计和警报规则创建。

kibana升级在线es_大数据

Discover 已经存在了很长一段时间。 尽管如此,它仍然是 Kibana 最常用的部分之一,允许你搜索和查看 Elasticsearch 的索引文档。 2015 年,它作为 Kibana 4 的一部分发布。让我们来看看数据发现的早期阶段:

kibana升级在线es_运维_02

在 5.6 中,添加了允许用户查看所选文档的周围文档的最后一项重大更改(当时它是一个单独的插件)。 在 6.x 和 7.x 期间,我们专注于消除技术债务(technical debt),例如从 Angular 1 迁移到 React 以及迁移到 Kibana 的新平台。

现在在 8.x 中,我们一直在不断地添加重大更改。 我们最近引入了一个新的增强文档表、字段统计信息以及创建搜索阈值警报的功能。 下面的屏幕截图显示了最近添加或更改的内容:

kibana升级在线es_elasticsearch_03

文档资源管理器 — 新的增强型数据表

在 8.2 中,由我们优秀的设计库 EUI 的 EuiDataGrid 提供支持的对我们的数据表的重大更改变得普遍可用。 许多用户要求能够配置表格列的宽度。 现在,这可以通过拖放来实现。

优化以充分利用可用屏幕空间以揭示潜在异常:

Resize columns

这同样适用于垂直屏幕空间的使用。 你现在可以在显示 1-20 行之间进行选择。 如果这还不够,只需选择自动适合以获得更大的图片。

Discover row height adjustment

如果你想知道如何在表格中显示图片,这个功能已经存在了很长一段时间。 最近我们添加了一个指向该列的上下文菜单的链接,因此访问起来更加容易。

kibana升级在线es_运维_04

该链接会打开一个浮出控件,允许你设置自定义标签并编辑字段的格式(字段格式化程序)。 将格式设置为 URL 时,选择图像类型。 这会将实际字段的 URL 转换为显示的图像。

更重要的是,我们改进了多个字段的排序。 使用经典表时很混乱,而混乱是一个需要修复的错误。 现在,你可以通过拖放更改要排序的字段顺序,并在一个简单的界面中删除排序字段以进行排序。

discover-sorting

想要消除干扰以专注于你的数据? 切换到全屏模式! 当你想要专注于仪表板上显示的数据时,这尤其有用。

full-screen

还有一件事:你可以选择文档并手动过滤到搜索的子集,在弹出窗口中查看这些文档。 这是仪表板上特别好的体验。 在此弹出窗口中,你可以搜索和固定字段并使用分页查看上一个或下一个文档。

Discover selection

总而言之,Discover 现在能够以更好、更可配置的方式调整数据视图。 除此之外,我们还在 Discover 中提供了一个新工具,帮助你更好地获取数据。

Discover 中的新功能:现场统计数据!

Kibana 的机器学习提供数据可视化器(Data visualizer)已有一段时间了。 在 8.1 中,它被添加到 Discover 标记的 Field statistics 信息中。 它提供了一种方便的方法来更深入地了解 Elasticsearch 中的数据结构。 想要快速了解一个字段的最高值、它的基数、包含它的文档的百分比以及它的分布? 现在只需单在 Discover 点击即可。

kibana升级在线es_运维_05

速度至关重要

为了更快地提供有关查询结果的信息,我们将请求拆分到 Elasticsearch。 现在有一个请求获取匹配的文档,另一个请求获取显示直方图所需的聚合数据,包括命中总数。 因此,通常在查询大量数据时,匹配的文档会更快地显示出来,而返回准确的命中数和聚合数据可能需要更长的时间。 无论先返回哪个数据,信息可见的速度更快。

Discover speed

提示:如果你对直方图不感兴趣,可以将其隐藏以获得更多垂直空间。 如果你只对直方图感兴趣,有一个按钮可以将你带到 Lens。 这样,您可以进一步探索和自定义此可视化。

Discover 中的警报

从 8.3 开始,Discover 支持你不再错过在 Elasticsearch 中摄取特别感兴趣的文档。 关键断开的日志消息,大于一定数量的在线订单,服务器的身份验证日志报告奇怪的数据-任何重要的信息都可以转换为通知。

为此,Discover 现在提供了一种创建警报规则的简单方法。 建议首先选择你选择的数据视图,然后通过添加查询和过滤器来缩小数据范围。 提交请求并对创建新警报规则的结果感到满意后,在 Discover 的工具栏中选择警报/创建搜索阈值规则。 此操作会打开一个弹出菜单,该弹出菜单提供各种参数来配置新的阈值警报。 Kibana 提供了许多在满足条件时要执行的操作,包括电子邮件、Slack、Pager duty、ServiceNow 等等。

Discover alerting

下一步是什么

从一开始,Discover 总是有一个要求来开始查询数据:现有的数据视图(也就是我们最近重命名之前的索引模式)。 在开始之前,你总是需要 Kibana 的堆栈管理。 很快这将不再需要。 即使没有可用的数据视图,你也可以转到 Discover,输入你感兴趣的模式匹配索引并获得结果。 因此,你可以专注于重要的事情:通过查询数据获得快速答案。

免责声明:屏幕截图中使用的图片经 Discover 的 Elasticat Karli 友好许可使用。