标签: kibana-6

我创建了一个 Kibana 仪表板，其中包含一些可视化内容。我可以使用提供的 url 成功嵌入仪表板：

{url}/app/kibana#/dashboard/{dashboard_uuid}?embed=true&_g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-1y,mode:quick,to:now))

现在，我希望我的应用程序的任何用户都能看到此仪表板，经过筛选以便仅查看他们的数据。我需要的过滤查询非常简单，因为所有数据都包含一个字段user_id。

示例：对于具有标识符的用户$id，我想加载带有过滤器的仪表板user_id:$id

有没有办法通过url设置过滤器？我看到已经有一些参数（refreshInterval，time..），但我找不到正确的文档。有任何想法吗？

使用 Kibana6.2.2和 ElasticSearch6.6.0

我尝试通过参数设置过滤器_a，如下所述： https: //discuss.elastic.co/t/dashboard-search-parameter-via-url/84385，但没有成功。

{url}/app/kibana#/dashboard/{dashboard_uuid}?
      embed=true&
      _g=(refreshInterval:(display:Off,pause:!f,value:0),time:(from:now-1y,mode:quick,to:now))&
      _a=(filters:!(),query:(querystring:(query: "user_id:1")))

我正在努力过滤 Kibana 日志消息中的方括号。假设我有以下消息：

[BOOK] The Book 32 was sold
Exception on buying BOOK

我想只过滤具有完全正确的消息[BOOK]（所以我应该只得到第一个）。

我尝试过使用我能想到的各种转义来过滤自由文本：

[BOOK]
"[BOOK]"
\[BOOK\]
"\[BOOK\]"
\\[BOOK\\]

还尝试按消息字段进行过滤：

message: [BOOK]*
message: "[BOOK]*"
message: \[BOOK\]*
message: "\[BOOK\]*"

但 Kibana 似乎只是忽略了方括号，并且总是带来这两条消息，仅突出显示该BOOK单词。

我怎样才能强制它搜索[]？

我使用SerilogElasticsearch sink 的配置如下：

Log.Logger = new LoggerConfiguration()
                    .MinimumLevel.Verbose()
                    .MinimumLevel.Override("Microsoft", LogEventLevel.Verbose)
                    .Enrich.FromLogContext()
                    .Enrich.WithExceptionDetails()
                    .Enrich.WithProperty("Application", "abc")
                    .Enrich.WithProperty("Environment", env.EnvironmentName)
                    .WriteTo.Elasticsearch(new ElasticsearchSinkOptions(new Uri(Configuration["LoggingEndpoint"]))
                    {
                        AutoRegisterTemplate = true,
                        CustomFormatter = new ExceptionAsObjectJsonFormatter(renderMessage: true) // Better formatting for exceptions
                    })

// 然后：

services.AddLogging(loggingBuilder =>
            loggingBuilder.AddSerilog());

但是我可以在 Kibana 上看到每个日志两次，时间戳相差几毫秒。我尝试了此处提供的解决方案，以防万一它们可能有所帮助，但没有运气。

我有一个堆积条形图，由布尔字段分割。这会导致图例以两种颜色显示（酷！），但图例具有以下值：true 和 false。对于读者来说，没有上下文说明什么是正确的，什么是错误的。

在本例中，字段名称为is_active。

至少让字段名称出现在图例中将有助于人们阅读和理解图表。

更好：有没有办法分别用“Active”和“Inactive”替换“true”和“false”？

我尝试了这个高级->JSON 输入：

{
  "script": {
    "inline": "doc['is_active'].value ? 'Active' : 'Inactive'",
    "lang": "painless"
  }
}

这会导致错误“String无法转换为java.lang.Number”。如果我用数字替换 JSON 输入中的字符串，数字确实会出现在图例中。但没有帮助。

我想在Kibana（v6.2）中过滤弹性搜索聚合结果。例如，我只想显示超过 100 的小时数总和（如SQL中的HAVING命令）。我知道我们可以在其他字段上过滤过滤器部分中的结果，但我不知道如何在聚合函数上应用过滤器。我尝试在 Kibana 的过滤器部分使用post_filter，但它不起作用。有任何想法吗？