Kibana可视化可以通过元字段(如_size )聚合吗？

Question

我想想象一下我们的平均elasticsearch文档大小是如何随时间变化的。

1. 我们使用ElasticSearch v7.1。我们使用AWS ElasticSearch服务和安装了Mapper大小的插件。
2. 我在索引上启用了_size字段。参考
3. 在Kibana“发现”中，我可以使用：_size: <900 找到小型文档
   • 或者我可以从命令行查询：curl -H 'Content-Type: application/json' -s http://es.example.com/logstash-2019.10.17/_search -d '{"query": {"range": {"_size": { "lt": 900 }}}}' | jq .

​

现在我想要创建一个Kibana可视化，例如，带有中间值"Visualize“的日期直方图，但是Kibana _size不允许我选择_size作为聚合字段。有什么方法可以可视化文档的大小吗？

_size是一个"元场“。

_size _source字段的大小(以字节为单位)，由mapper大小插件提供。

也许基巴纳不支持“元田”？

当不使用Kibana“可视化”时，我可以通过_size进行聚合：

curl -H 'Content-Type: application/json' -s http://es.example.com/logstash-2019.10.17/_search -d '{
  "query": {
    "range": {
      "_size": {
        "gt": 10
      }
    }
  },
  "aggs": {
    "sizes": {
      "terms": {
        "field": "_size",
        "size": 10
      }
    }
  },
  "sort": [
    {
      "_size": {
        "order": "desc"
      }
    }
  ]
}' | jq .

Answer 1

问题老了，但看上去没有答案。解决办法是：

• 转到Kibana索引模式
• 搜索并编辑Kibana中用于从Elasticsearch索引中检索数据的方法(例如logstash-*)
• 编辑->添加字段
  • 使用emit(doc'_size'.value)作为值
  • 使用Bytes作为格式

• 保存它

现在，_size值应该可以作为您的Kibana可视化/仪表板上的任何其他(_source)字段使用。

Answer 2

如果您在Kibana到Management->Elasticsearch index management，您可以看到具体的索引如下：

​

​

有些字段没有打开Aggretable。检查其他字段，并确保它们在本列中有圆圈。这就是为什么Kibana Visualize不允许你选择_size作为aggregation field的原因。

也许您可以通过创建额外的字段来使用https://www.elastic.co/guide/en/kibana/current/scripted-fields.html，如果Kibana允许您在脚本中使用_size字段，并且该字段在我前面提到的意义上是Aggretable。