regex - Kibana:我可以将 “Time”存储为变量并进行连续搜索吗？

Question

我想自动进行一些搜索，步骤如下:

在Kibana中搜索以下ID:"b2c729b5-6440-4829-8562-abd81991e2a0"，它将返回一堆日志。在这些日志中，我需要记录第一个和最后一个时间戳:

我现在想将这两个数据从:September 3rd 2019, 21:28:22.155，到:September 3rd 2019, 21:28:23.524存储在2个变量

中

在时间的两个变量

之间，在Kibana中第二次搜索单词 "fail"
如何在整个过程 自动化而不需要复制/粘贴和运行第二个查询？

编辑:

简而言之:我在一家生产自动驾驶软件的公司工作。
场景:预订被拒绝，我们需要了解原因。
问题在哪里:我需要在3台不同的计算机上监视几秒钟的日志。每个日志都是完全分开的，日志之间没有关系，因此我无法在发现中编写查询，我需要运行3个分开的查询。

示例:

预订被拒绝，因此我打开了Chrome浏览器，然后在“elk-prod.myhost.com”上搜索了BookingID:"b2c729b5-6440-4829-8562-abd81991e2a0"，并且在2秒内返回了许多日志(从:FROM:September 3rd 2019, 21:28:22.155，到:September 3rd 2019, 21:28:23.524 )。

现在，我需要知道汽车上发生了什么，所以我打开一个新的Chrome标签，然后在以下时间范围内从“elk-prod.myhost.com”中搜索CarID:"Tesla-45-OU"，从:September 3rd 2019, 21:28:22.155到TO:September 3rd 2019, 21:28:23.524

现在，我需要知道为什么计算匹配项的服务器拒绝预订，所以我打开一个新的Chrome标签并始终在以下时间范围内搜索单词CalculationMatrix:FROM:September 3rd 2019, 21:28:22.155，TO:September 3rd 2019, 21:28:23.524

结论:我想停止手动保持打开Chrome标签页并使整个过程自动化。我不知道这本书是什么时候制作的，所以我首先需要搜索BookingID "b2c729b5-6440-4829-8562-abd81991e2a0"，然后存储第一个和最后一个日志的时间戳，并根据这些时间戳运行第二个和第三个查询。

我搜索的3个日志之间没有关系，因此无法从“发现”中进行过滤，我需要自动执行3个不同的查询。

Answer 1

这就是我要怎么做。首先，据我了解，您有三个不同的索引:

用于“预订”

代表“汽车”

“匹配项”之一

首先，在“发现”中，我将创建三个“保存的搜索”，每个索引模式一个。然后在Visualize中，我将在已保存的预订搜索中创建一个垂直条形图(在 date_histogram字段上，通过 timestamp的“桶X轴”，其余部分保持不变)。您将获得一个按时间分类的所有预订事件的不错的直方图。
最后，我将创建一个仪表板，并在其中添加垂直条形图和这三个已保存的搜索。

完成后，我将根据上面描述的过程进行搜索的方式如下:

在顶部过滤器栏中搜索预订ID b2c729b5-6440-4829-8562-abd81991e2a0。在条形图直方图(预订)中，您将看到与所选预订有关的所有文档。在该图表上，您可以选择从第一个预订文件发生到最后一个的确切时间。这将使顶部的主要时间选择器生效，并且开始/结束时间将由Kibana

“记住”

从顶部过滤器中删除预订ID(因为我们现在知道时间范围，并且Kibana会存储它)。在顶部过滤器栏中搜索Tesla-45-OU。条形图直方图+预订保存的搜索+匹配的保存的搜索将为空，但是您将在第二个列表中找到数据，一个用于汽车。在这里找到您需要的任何内容，然后继续下一步。

从顶部过滤器中删除汽车ID并搜索ComputationMatrix。现在，第三个保存的搜索将向您显示在该时间范围内需要查看的所有文档。

我缺乏现实的数据来尝试这一点，但是我绝对认为，如上所述，这可能是可行的，并且需要进行一些修改。