创建可视化视图edit

要创建可视化视图:

  1. 点击左侧导航栏的 Visualize
  2. 点击 Create new visualization 按钮或 + 按钮。
  3. 选择视图类型:

  4. 指定一个查询,为视图获取数据:

    • 想要输入新的搜索条件,只需为包含想要可视化数据的索引库选择索引模式。这将打开一个可视化视图编辑器,并关联一个匹配所选索引库里所有文档的通配符查询。
    • 想要从一个已有的搜索来构建一个可视化视图,只需点击想使用的已有查询名称即可。这将打开一个视图编辑器并加载所选的查询。

      当从一个已有的搜索来构建可视化视图时,随后对已有查询的任何修改都会自动反馈在视图中。想要禁止自动更新,您需要断开视图和已保存的搜索之间的连接。

  5. 在视图编辑器中为视图的Y轴选择指标聚合:

  6. 为视图X轴选择一个桶聚合:

比如,如果正在索引 Apache 服务器日志,就可以构建一个条形图,通过指定 geo.src 字段上的一个 term 聚合,来展示地理位置的请求分布:

bar terms agg

Y轴表示来自每个国家的请求数量,而X轴则表示要显示的国家。

图、线或区域图的可视化都是使用 度量 指标作为Y轴,使用 作为X轴。桶类似于SQL中的 GROUP BY 语句。Pie 图中使用分片大小作为指标,分片数量作为桶。

还可以进一步根据指定的子聚合来划分数据。第一个聚合决定任何子序列聚合的数据集。子聚合是有顺序的,可以通过拖拽聚合来改变。

比如,可以在 geo.dest 字段增加一个 term 子聚合到原始国家条形图,来查看这些请求对应的位置。

bar terms subagg

更多关于子聚合的内容,请参考这篇博文 Kibana, Aggregation Execution Order, and You