Kibana 可视化可以通过 _size 等元字段进行聚合吗？

Question

我想想象一下我们的平均 elasticsearch 文档大小是如何随时间变化的。

1. 我们使用 ElasticSearch v7.1。我们使用 AWS ElasticSearch 服务和Mapper Size Plugin is installed。
2. 我在我的索引上启用了_size 字段。 ref
3. 在 Kibana “发现”中，我可以使用以下命令找到小文档：_size: <900
   • 或者我可以从命令行查询：curl -H 'Content-Type: application/json' -s http://es.example.com/logstash-2019.10.17/_search -d '{"query": {"range": {"_size": { "lt": 900 }}}}' | jq .

现在我想创建一个 Kibana 可视化，例如带有中位数 _size 的日期直方图，但 Kibana "Visualize" 不允许我选择 _size 作为聚合字段。有没有办法可视化文档的大小？

---

_size 是一个“meta-field”。

_size _source 字段的大小，以字节为单位，由mapper-size plugin 提供。

也许 Kibana 不支持“元字段”？

不使用 Kibana “Visualize”时，我可以通过 _size 进行聚合：

curl -H 'Content-Type: application/json' -s http://es.example.com/logstash-2019.10.17/_search -d '{
  "query": {
    "range": {
      "_size": {
        "gt": 10
      }
    }
  },
  "aggs": {
    "sizes": {
      "terms": {
        "field": "_size",
        "size": 10
      }
    }
  },
  "sort": [
    {
      "_size": {
        "order": "desc"
      }
    }
  ]
}' | jq .

Answer 1

如果您在 Kibana 中访问 Management->Elasticsearch index management，您可以查看特定索引：

有些字段没有Aggretable。 检查其他字段，并查看它们在此列中有圆圈。 这就是 Kibana Visualize 不允许您选择 _size 作为 aggregation field 的原因。

也许你可以使用https://www.elastic.co/guide/en/kibana/current/scripted-fields.html 如果Kibana 允许您在脚本中使用_size 字段，并且在我之前提到的某种意义上，该字段将是Aggretable，则以某种方式通过添加其他字段使其工作。