我知道有人问过这个问题,但 ELK 似乎变化非常迅速,也许在这一点上有些事情是可能的。 因此,我正在使用 Kibana 4,并且试图可视化(或至少计算)查询中两个文档之间的时间差。 我的文档是来自批处理过程的日志,其中包含很多字段,时间戳就是其中之一(“日期”类型)。 是否可以使用脚本字段计算查询中连续文档之间的时间差? (返回什么类型并不重要)。
我希望我是有道理的,我是 ELK 的新手。 提前致谢。
道塔
【问题讨论】:
标签: elasticsearch kibana elastic-stack
_据我了解,您不能在 Kibana 中这样做,因为脚本字段一一应用于文档。但是,如果对您来说重要的是获得计算结果,您可以在 ES 查询中使用 scripted_metric 聚合来完成此操作。
我认为它可能看起来像
{
"sort" : [
{ "mydatefield" : {"order" : "asc"}}
],
"query" : {
(something of match, range, match_all...)
},
"aggregations": {
"scripted_metric": {
"init_script": "(declarations, eg :) _agg['myarray']=[]",
"map_script": (store relevant timestamps in datastructure, eg :) "_ạgg.myarray.add(doc['mydatefield'])",
"reduce_script": "(aggregate results, eg :) otherarray = [] ; for (x in ạggs){otherarray.putAll(x.myarray)} ;
(and sort otherarray) ; result = [] ;
for (i = 0 ; i < otherarray.length-1 ; i++){result.add(otherarray[i+1]-otherarray[i])} ;
return result ;"
}
}
}
【讨论】: