Kibana - Aggregazione e metriche

I due termini che incontri frequentemente durante l'apprendimento di Kibana sono Bucket e Metrics Aggregation. Questo capitolo discute quale ruolo giocano in Kibana e ulteriori dettagli su di loro.

Cos'è l'aggregazione Kibana?

L'aggregazione si riferisce alla raccolta di documenti o a una serie di documenti ottenuti da una particolare query o filtro di ricerca. L'aggregazione costituisce il concetto principale per costruire la visualizzazione desiderata in Kibana.

Ogni volta che si esegue una visualizzazione, è necessario decidere i criteri, il che significa in che modo si desidera raggruppare i dati per eseguire la metrica su di essi.

In questa sezione, discuteremo due tipi di aggregazione:

  • Bucket Aggregation
  • Aggregazione metrica

Bucket Aggregation

Un secchio è costituito principalmente da una chiave e un documento. Quando viene eseguita l'aggregazione, i documenti vengono inseriti nel rispettivo bucket. Quindi alla fine dovresti avere un elenco di bucket, ciascuno con un elenco di documenti. L'elenco di Bucket Aggregation che vedrai durante la creazione della visualizzazione in Kibana è mostrato di seguito:

Bucket Aggregation ha il seguente elenco:

  • Istogramma della data
  • Intervallo di date
  • Filters
  • Histogram
  • Intervallo IPv4
  • Range
  • Termini significativi
  • Terms

Durante la creazione, è necessario decidere uno di essi per Bucket Aggregation, ovvero raggruppare i documenti all'interno dei bucket.

Ad esempio, per l'analisi, considera i dati dei paesi che abbiamo caricato all'inizio di questo tutorial. I campi disponibili nell'indice dei paesi sono il nome del paese, l'area, la popolazione, la regione. Nei dati dei paesi, abbiamo il nome del paese insieme alla sua popolazione, regione e area.

Supponiamo di volere dati relativi alla regione. Quindi, i paesi disponibili in ciascuna regione diventano la nostra query di ricerca, quindi in questo caso la regione formerà i nostri bucket. Lo schema a blocchi seguente mostra che R1, R2, R3, R4, R5 e R6 sono i bucket che abbiamo ottenuto e c1, c2 ..c25 sono l'elenco dei documenti che fanno parte dei bucket da R1 a R6.

Possiamo vedere che ci sono alcuni cerchi in ciascuno dei secchi. Sono un insieme di documenti basati sui criteri di ricerca e considerati rientrare in ciascuno dei bucket. Nel bucket R1 abbiamo i documenti c1, c8 e c15. Questi documenti sono i paesi che ricadono in quella regione, lo stesso per gli altri. Quindi se contiamo i paesi nel Bucket R1 è 3, 6 per R2, 6 per R3, 2 per R4, 5 per R5 e 4 per R6.

Quindi, tramite l'aggregazione dei bucket, possiamo aggregare il documento in bucket e avere un elenco di documenti in tali bucket come mostrato sopra.

L'elenco di Bucket Aggregation che abbiamo finora è:

  • Istogramma della data
  • Intervallo di date
  • Filters
  • Histogram
  • Intervallo IPv4
  • Range
  • Termini significativi
  • Terms

Discutiamo ora in dettaglio come formare questi secchi uno per uno.

Istogramma della data

L'aggregazione dell'istogramma data viene utilizzata in un campo data. Quindi l'indice che usi per visualizzare, se hai un campo data in quell'indice, può essere usato solo questo tipo di aggregazione. Si tratta di un'aggregazione multi-bucket, il che significa che alcuni documenti possono essere inclusi in più di 1 bucket. C'è un intervallo da utilizzare per questa aggregazione ei dettagli sono come mostrato di seguito:

Quando si seleziona l'aggregazione dei bucket come istogramma della data, verrà visualizzata l'opzione Campo che fornirà solo i campi relativi alla data. Una volta selezionato il campo, è necessario selezionare l'intervallo che ha i seguenti dettagli:

Quindi i documenti dall'indice scelto e in base al campo e all'intervallo scelti classificheranno i documenti in bucket. Ad esempio, se si sceglie l'intervallo come mensile, i documenti basati sulla data verranno convertiti in segmenti e in base al mese, ovvero gennaio-dicembre i documenti verranno inseriti nei segmenti. Qui gennaio, febbraio, .. dicembre saranno i secchi.

Intervallo di date

È necessario un campo data per utilizzare questo tipo di aggregazione. Qui avremo un intervallo di date, cioè dalla data e alla data da dare. I secchi avranno i suoi documenti in base alla forma e alla data fornita.

Filtri

Con l'aggregazione del tipo di filtri, i bucket verranno formati in base al filtro. Qui otterrai un multi-bucket formato in base ai criteri di filtro che un documento può esistere in uno o più bucket.

Utilizzando i filtri, gli utenti possono scrivere le loro query nell'opzione di filtro come mostrato di seguito:

Puoi aggiungere più filtri di tua scelta utilizzando il pulsante Aggiungi filtro.

Istogramma

Questo tipo di aggregazione viene applicato su un campo numerico e raggrupperà i documenti in un bucket in base all'intervallo applicato. Ad esempio, 0-50,50-100,100-150 ecc.

Intervallo IPv4

Questo tipo di aggregazione viene utilizzato e utilizzato principalmente per gli indirizzi IP.

L'indice che abbiamo che è il contriesdata-28.12.2018 non ha un campo di tipo IP quindi visualizza un messaggio come mostrato sopra. Se ti capita di avere il campo IP, puoi specificare i valori Da e A in esso come mostrato sopra.

Gamma

Questo tipo di aggregazione richiede che i campi siano di tipo numero. È necessario specificare l'intervallo e i documenti verranno elencati nei segmenti che rientrano nell'intervallo.

È possibile aggiungere più intervallo, se necessario, facendo clic sul pulsante Aggiungi intervallo.

Termini significativi

Questo tipo di aggregazione viene utilizzato principalmente sui campi stringa.

Termini

Questo tipo di aggregazione viene utilizzato su tutti i campi disponibili, ovvero numero, stringa, data, booleano, indirizzo IP, timestamp ecc. Nota che questa è l'aggregazione che useremo in tutte le nostre visualizzazioni su cui lavoreremo in questo tutorial.

Abbiamo un ordine di opzioni in base al quale raggrupperemo i dati in base alla metrica che selezioniamo. La dimensione si riferisce al numero di bucket che si desidera visualizzare nella visualizzazione.

Successivamente, parliamo dell'aggregazione metrica.

Aggregazione metrica

L'aggregazione metrica si riferisce principalmente al calcolo matematico eseguito sui documenti presenti nel bucket. Ad esempio, se scegli un campo numerico, il calcolo della metrica che puoi eseguire su di esso è COUNT, SUM, MIN, MAX, MEDIA ecc.

Un elenco di aggregazioni metriche di cui parleremo è fornito qui:

In questa sezione, discutiamo di quelli importanti che useremo spesso:

  • Average
  • Count
  • Max
  • Min
  • Sum

La metrica verrà applicata alla singola aggregazione di bucket di cui abbiamo già parlato in precedenza.

Successivamente, discutiamo l'elenco delle aggregazioni di metriche qui:

Media

Questo darà la media per i valori dei documenti presenti nei bucket. Ad esempio:

R1 a R6 sono i secchi. In R1 abbiamo c1, c8 e c15. Considera che il valore di c1 è 300, c8 è 500 e c15 è 700. Ora per ottenere il valore medio del bucket R1

R1 = valore di c1 + valore di c8 + valore di c15 / 3 = 300 + 500 + 700/3 = 500.

La media è 500 per il secchio R1. Qui il valore del documento potrebbe essere qualcosa di simile se si considerano i dati dei paesi potrebbe essere l'area del paese in quella regione.

Contare

Questo darà il conteggio dei documenti presenti nel Bucket. Supponiamo che tu voglia il conteggio dei paesi presenti nella regione, sarà il totale dei documenti presenti nei bucket. Ad esempio, R1 sarà 3, R2 = 6, R3 = 5, R4 = 2, R5 = 5 e R6 = 4.

Max

Questo darà il valore massimo del documento presente nel bucket. Considerando l'esempio precedente se disponiamo di dati relativi ai paesi per area nel bucket della regione. Il massimo per ciascuna regione sarà il paese con l'area massima. Quindi avrà un paese per ogni regione, cioè da R1 a R6.

in

Questo darà il valore minimo del documento presente nel bucket. Considerando l'esempio precedente se abbiamo dati sui paesi per area geografica nel bucket della regione. Il minimo per ciascuna regione sarà il paese con l'area minima. Quindi avrà un paese per ogni regione, cioè da R1 a R6.

Somma

Questo darà la somma dei valori del documento presente nel bucket. Ad esempio, se si considera l'esempio precedente se si desidera l'area o i paesi totali nella regione, sarà la somma dei documenti presenti nella regione.

Ad esempio, per conoscere il totale dei paesi nella regione R1 sarà 3, R2 = 6, R3 = 5, R4 = 2, R5 = 5 e R6 = 4.

Nel caso in cui abbiamo documenti con area nella regione da R1 a R6, l'area per paese sarà riassunta per la regione.