elasticsearch - 如何使用Kibana和elastichsearch [7.5.0]跟踪包含特定值的文档数

Question

我有一个索引，其中包含有关某些对象的信息。我想在我的Kibana的仪表板上显示一些信息。让我们假设一个对象看起来如下:

 {
  "_index": "obj",
  "_type": "_doc",
  "_id": "KwDPAHABfo5V345r4IYV",
  "_version": 1,
  "_score": 0,
  "_source": {
    "value_1": "some value",
    "value_2": "some_other value",
    "owner": "jason",
    "modified_date": "2020-02-01T12:53:08.210317+00:00",
    "created_date": "2020-02-01T12:53:08.243980+00:00"
   }
 }

我需要显示(实时)具有 owner: 'UNKNOWN'的对象的数量。事实是，该值会随时间变化。每次更改都是一个新文档-不会进行更新。我需要跟踪当前看到多少个未知所有者。更新(新文档)以固定的间隔发送给麋鹿。
当我尝试设置度量标准时，在一次更新与另一次更新之间的窗口中-当没有文档流入麋鹿时，有时会显示0。如何使Kibana仅显示带有 owner: 'UNKNOWN'的最后文档？

Answer 1

How can I make Kibana display only last documents with owner: 'UNKNOWN'?

您可以为此设置数据表可视化，以替代一维度量可视化。

这是我个人配置数据表的方式:

用'owner(.keyword)is UNKNOWN'设置过滤器。

在created_date(或@timestamp，由您决定)字段上使用指标“Top Hit”(最高命中率)代替计数指标。

根据时间戳字段将顺序设置为降序。

为要在行中显示的每个字段拆分行(术语聚合)。这将在您的表中创建“列”。

转到选项选项卡，然后启用对所有行总和的计数。

设置适当的时间间隔，例如最后1小时。

这将显示字段所有者等于UNKNOWN的文档的所有相关数据。另外，您会看到这些文档的摄取/创建日期时间戳以降序排列。此外，您还会看到匹配的文档数量(如上所述，通过“选项”标签进行配置)。

希望能对您有所帮助。