【发布时间】:2021-05-14 09:01:36
【问题描述】:
我刚刚开始学习 ElasticSearch 和 Kibana。我创建了一个 Winlogbeat 仪表板,其中的日志工作正常。我想导入使用 Python 创建的附加数据(CSV 数据)。我尝试上传 CSV 文件,但我只能创建一个单独的索引,而不能将它与 Winlogbeat 数据合并。有人知道怎么做吗?
提前致谢
【问题讨论】:
标签: elasticsearch kibana
【发布时间】:2021-05-14 09:01:36
【问题描述】:
在许多用例中,您不需要实际组合成一个索引。以下是您可以按复杂程度的大致顺序显示组合数据的几种方法:
简单的方法,使用单独的索引:
- 在仪表板上使用多个图表
- 在单个图表中使用多个索引
将数据组合到单个索引中的更复杂的方法:
- 使用数据转换透视索引
- 在摄取时合并
- 自己动手
在仪表板上使用多个图表
这是最简单的方法:将您的数据提取到单独的索引中,为它们制作单独的可视化,然后将这些可视化添加到一个仪表板。如果事件是基于时间的,那么这种简单的方法可能就是您所需要的。
在单个图表中使用多个索引
Lens、TSVB 和 Timelion 都可以使用多个数据源。 (Vega 也可以,但那是在困难模式下播放)
这是一个关于如何在 Lens 中执行此操作的 Elastic 官方视频:youtube
使用数据转换创建数据透视索引
您可以使用 Elasticsearch 的 Data Transforms 功能来获取、组合和聚合不同的数据源到组合数据结构中,然后可以使用 Kibana 进行查询。 Transforming the eCommerce sample data上的官方教程是一个了解更多的好地方。
在摄取时合并
如果您有(或可以添加)Logstash,您可以在管道的filter 阶段合并数据集:
- 使用基于文件的查找表和translate 过滤插件
- 通过等待相关文档进来,然后使用 aggregate 过滤器插件将组合文档输出到 Elasticsearch
- 使用带有过滤器插件的外部查找,例如 elasticsearch 或 http
- 使用ruby过滤插件执行任意ruby代码
自己动手
如果您使用 Python 程序生成 CSV 文件,您可能需要考虑合并 python Elasticsearch DSL lib 以对 winlogbeat 数据运行查询,然后以组合状态摄取它(无论是通过 CSV 还是其他方式)。
【讨论】:
基本上,Winlogbeat 是 Elasticsearch 的数据传送器。它将特定于 Windows 的数据发送到名为 winlogbeat 并具有特定架构和文档结构的索引。
您不能将具有different schema 的另一个文档合并到winlogbeat 索引中。
如果您的目标是关联不同的数据点。请使用Time-series visual builder 叠加两个不同的数据集进行可视化。
【讨论】:
-
感谢您的回答。这是有道理的。