本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指标查询编辑器
OpenSearch 查询编辑器允许您选择多个指标并按多个术语或筛选条件进行分组。使用右侧的加号和减号图标添加/移除指标或 group by 子句。一些指标和 group by 子句具有选项。选择选项文本展开行,以查看和编辑指标或分组依据选项。
使用管道处理语言(PPL)
Amazon S OpenSearch ervice 数据源支持管道处理语言 (PPL),该语言支持更简单但强大的查询和可视化功能。 OpenSearchPPL 使客户无需撰写冗长的 OpenSearch 域特定语言 (DSL) 语句或使用 JSON 对象编写查询即可浏览和查找数据。使用 PPL,您可以将查询写成一组由管道分隔的命令,类似于 UNIX 管道。
以下面的示例 DSL 查询为例:
GET opensearch_sample_data_logs/_search{"from":0,"size":0,"timeout":"1m","query":{"bool":{"should":[{"term":{"response.keyword":{"value":"404","boost":1}}},{"term":{"response.keyword":{"value":"503","boost":1}}}],"adjust_pure_negative":true,"boost":1}},"sort":[{"_doc":{"order":"asc"}}],"aggregations":{"composite_buckets":{"composite":{"size":1000,"sources":[{"host":{"terms":{"field":"host.keyword","missing_bucket":true,"order":"asc"}}},{"response":{"terms":{"field":"response.keyword","missing_bucket":true,"order":"asc"}}}]},"aggregations":{"request_count":{"value_count":{"field":"request.keyword"}},"sales_bucket_sort":{"bucket_sort":{"sort":[{"request_count":{"order":"desc"}}],"size":10}}}}}}>前面的 DSL 查询可以替换为以下 PPL 命令,该命令简洁易懂。
source = opensearch_sample_data_logs | where response='404' or response='503' | stats count(request) as request_count by host, response | sort –request_count有关 PPL 的更多信息,请参阅使用管道处理语言查询 Amazon OpenSearch 服务数据。
序列命名和别名模式
您可以使用 Alias 输入字段控制时间序列的名称。
| 模式 | 描述 |
|---|---|
{{term fieldname}}
|
替换为术语 Group By 的值。 |
{{metric}}
|
替换为指标名称(例如 Average、Min、Max)。 |
{{field}}
|
替换为指标字段名称。 |
管道指标
一些指标聚合称为管道聚合;例如,移动平均线和衍生物。 OpenSearch 管道指标需要另一个指标作为依据。使用指标旁边的眼睛图标可隐藏指标,使其不显示在图表中。这对于查询中仅包含用于管道指标的指标很有用。
模板化
您可以在指标查询中使用变量来代替服务器、应用程序和传感器名称等硬编码的内容。变量显示为控制面板顶部的下拉选择框。您可以使用这些下拉框来更改控制面板中显示的数据。
有关模板化和模板变量的更多信息,请参阅 模板和变量。
查询变量
OpenSearch 服务数据源支持两种类型的查询,您可以在查询变量的查询字段中使用。该查询是使用自定义 JSON 字符串编写的。
| Query | 描述 |
|---|---|
{"find": "fields",
"type": "keyword"}
|
返回索引类型为 keyword 的字段名称列表。 |
{"find": "terms",
"field": "@hostname",
"size": 1000}
|
使用术语聚合返回字段的值列表。查询将使用当前控制面板的时间范围作为查询的时间范围。 |
{"find": "terms",
"field": "@hostname",
"query": '<lucene query>'}
|
使用术语聚合和指定的 Lucene 查询筛选条件返回字段的值列表。查询将使用当前控制面板的时间范围作为查询的时间范围。 |
术语查询的默认大小限制为 500。要设置自定义限制,请在查询中设置大小属性。您可以在查询中使用其他变量。以下代码示例显示了一个名为 $host 的变量的查询定义。
{"find": "terms", "field": "@hostname", "query": "@source:$source"}
在前面的示例中,我们在查询定义中使用了另一个名为 $source 的变量。每当您使用下拉列表更改 $source 变量的当前值时,它都会启动 $host 变量的更新。更新后,$host 变量仅包含按(在本例中为 @source 文档属性)筛选的主机名。
默认情况下,这些查询按术语顺序返回结果(然后可以按字母顺序或数字顺序对任何变量进行排序)。要生成按文档计数排序的术语列表(前 N 个值列表),请添加 doc_count 的 orderBy 属性。这将自动选择降序排序。可通过设置 order:
"asc" 将 asc 与 doc_count(后 N 个值列表)结合使用,但不建议这样做,因为会增加文档计数的误差。要使术语按文档计数顺序排列,请将变量的排序下拉列表设置为禁用。或者,您也可以使用按字母顺序对其重新排序。
{"find": "terms", "field": "@hostname", "orderBy": "doc_count"}
在查询中使用变量
共有两种语法:
-
$<varname>示例:@hostname:$hostname -
[[varname]]示例:@hostname:[[hostname]]
为什么是两种? 第一种语法更容易读写,但不能在词中间使用变量。启用多值或包含所有值选项后,Grafana 会将标签从纯文本转换为兼容 Lucene 的条件。
在前面的示例中,我们有一个 lucene 查询,该查询使用名为 $hostname 的变量根据 @hostname 属性筛选文档。同时使用了术语分组依据字段输入框中的变量。这让您可以使用变量快速更改数据的分组方式。
Annotations
您可以使用注释在图形上叠加丰富的事件信息。您可以使用控制面板菜单或注释视图添加注释查询。Grafana 可以查询 OpenSearch 任何索引中的注解事件。有关更多信息,请参阅 Annotations。
| 名称 | 描述 |
|---|---|
Query
|
您可以将搜索查询留空,也可以指定 Lucene 查询。 |
Time
|
时间字段的名称;必须是日期字段。 |
Time End
|
时间结束字段的可选名称必须是日期字段。如果设置,注释将被标记为介于 time 和 time-end 之间的区域。 |
Text
|
事件描述字段。 |
Tags
|
用于事件标签的可选字段名称(可以是数组或 CSV 字符串)。 |
查询 日志
在 “浏览” 中可以查询和显示来自 OpenSearch 的日志数据。要显示您的日志,请选择 OpenSearch 服务数据源,然后根据需要输入 Lucene 查询。有关更多信息,请参阅 Explore。
日志查询
返回结果后,日志面板会显示日志行列表和条形图,其中 x 轴显示时间,y 轴显示频率或计数。
筛选日志消息
或者,在查询字段中输入 Lucene 查询以筛选日志消息。例如,如果使用默认的 Filebeat 设置,则可以使用 fields.level:error 仅显示错误日志消息。
