Utilizzo della fonte OpenSearch di dati Amazon Service

Editor di query metriche

L'editor di OpenSearch query consente di selezionare più metriche e raggrupparle in base a più termini o filtri. Utilizza le icone più e meno a destra per aggiungere/rimuovere metriche o raggruppare per clausole. Alcune metriche e clausole group by dispongono di opzioni. Scegli il testo dell'opzione per espandere la riga\ per visualizzare e modificare la metrica o il gruppo in base alle opzioni.

Utilizzo del linguaggio PPL (Piped Processing Language)

L'origine dati OpenSearch di Amazon Service supporta Piped Processing Language (PPL), che consente funzionalità di interrogazione e visualizzazione più semplici ma potenti per. OpenSearch PPL consente ai clienti di esplorare e trovare dati senza dover comporre lunghe istruzioni DSL ( OpenSearch Domain Specific Language) o scrivere query utilizzando oggetti JSON. Con PPL, è possibile scrivere le query come un insieme di comandi delimitati da pipe simili alle pipe UNIX.

Prendiamo come esempio la seguente query DSL:

GET opensearch_sample_data_logs/_search{"from":0,"size":0,"timeout":"1m","query":{"bool":{"should":[{"term":{"response.keyword":{"value":"404","boost":1}}},{"term":{"response.keyword":{"value":"503","boost":1}}}],"adjust_pure_negative":true,"boost":1}},"sort":[{"_doc":{"order":"asc"}}],"aggregations":{"composite_buckets":{"composite":{"size":1000,"sources":[{"host":{"terms":{"field":"host.keyword","missing_bucket":true,"order":"asc"}}},{"response":{"terms":{"field":"response.keyword","missing_bucket":true,"order":"asc"}}}]},"aggregations":{"request_count":{"value_count":{"field":"request.keyword"}},"sales_bucket_sort":{"bucket_sort":{"sort":[{"request_count":{"order":"desc"}}],"size":10}}}}}}>

La precedente query DSL può essere sostituita con il seguente comando PPL, conciso e leggibile dall'uomo.

source = opensearch_sample_data_logs | where response='404' or response='503' | stats count(request) as request_count by host, response | sort –request_count

Per ulteriori informazioni su PPL, consulta Interrogazione dei dati di Amazon OpenSearch Service utilizzando il linguaggio di elaborazione Piped.

Denominazione delle serie e modelli di alias

È possibile controllare il nome delle serie temporali utilizzando il campo di Alias immissione.

Pattern	Descrizione
{{term fieldname}}	Sostituito con il valore del termine Raggruppa per.
{{metric}}	Sostituito con un nome metrico (es. Media, min, max).
{{field}}	Sostituito con il nome del campo metrico.

Metriche della pipeline

Alcune aggregazioni metriche sono chiamate aggregazioni di pipeline, ad esempio Moving Average e Derivative. OpenSearch le metriche della pipeline richiedono che si basino su un'altra metrica. Utilizza l'icona a forma di occhio accanto alla metrica per impedire che le metriche vengano visualizzate nel grafico. Ciò è utile per le metriche presenti solo nella query da utilizzare in una metrica di pipeline.

Modellazione

Invece di inserire elementi come il nome del server, dell'applicazione e del sensore nelle query metriche, puoi utilizzare variabili al loro posto. Le variabili vengono visualizzate come caselle di selezione a discesa nella parte superiore della dashboard. Puoi utilizzare queste caselle a discesa per modificare i dati visualizzati nella dashboard.

Per ulteriori informazioni sui modelli e sulle variabili dei modelli, consulta. Modelli e variabili

Variabile di interrogazione

L'origine dati del OpenSearch servizio supporta due tipi di query che è possibile utilizzare nel campo Query delle variabili di query. La query viene scritta utilizzando una stringa JSON personalizzata.

Query	Descrizione
{"find": "fields", "type": "keyword"}	Restituisce un elenco di nomi di campo con il tipo di keyword indice.
{"find": "terms", "field": "@hostname", "size": 1000}	Restituisce un elenco di valori per un campo utilizzando l'aggregazione di termini. La query utilizzerà l'intervallo di tempo corrente del dashboard come intervallo di tempo per la query.
{"find": "terms", "field": "@hostname", "query": '<lucene query>'}	Restituisce un elenco di valori per un campo utilizzando l'aggregazione di termini e un filtro di query Lucene specificato. La query utilizzerà l'intervallo di tempo corrente del dashboard come intervallo di tempo per la query.

Esiste un limite di dimensione predefinito di 500 per le query a termini. Per impostare un limite personalizzato, imposta la proprietà size nella tua query. È possibile utilizzare altre variabili all'interno della query. Il seguente esempio di codice mostra la definizione della query per una variabile denominata$host.

{"find": "terms", "field": "@hostname", "query": "@source:$source"}

Nell'esempio precedente, utilizziamo un'altra variabile denominata $source all'interno della definizione della query. Ogni volta che si modifica, utilizzando l'elenco a discesa, il valore corrente della $source variabile, viene avviato un aggiornamento della $host variabile. Dopo l'aggiornamento, la $host variabile contiene solo nomi host filtrati in base, in questo caso, alla proprietà del documento. @source

Per impostazione predefinita, queste query restituiscono i risultati nell'ordine dei termini (che possono quindi essere ordinati alfabeticamente o numericamente come per qualsiasi variabile). Per produrre un elenco di termini ordinati in base al numero di documenti (un elenco di valori tra i primi N), aggiungi una proprietà di. orderBy doc_count Questo seleziona automaticamente un ordinamento decrescente. L'utilizzo asc con doc_count (un elenco Bottom-N) può essere eseguito impostandoorder: "asc", ma è sconsigliato perché aumenta l'errore nel conteggio dei documenti. Per mantenere i termini nell'ordine di conteggio dei documenti, imposta l'elenco a discesa Ordina della variabile su Disabilitato. In alternativa, potresti comunque voler utilizzare Alfabetic per riordinarli.

{"find": "terms", "field": "@hostname", "orderBy": "doc_count"}

Utilizzo di variabili nelle interrogazioni

Esistono due sintassi:

• $<varname>Esempio: @hostname: $hostname

• [[varname]]Esempio: @hostname: [[hostname]]

Perché due modi? La prima sintassi è più facile da leggere e scrivere, ma non consente di utilizzare una variabile al centro di una parola. Quando le opzioni Multivalore o Includi tutti i valori sono abilitate, Grafana converte le etichette da testo semplice a una condizione compatibile con Lucene.

Nell'esempio precedente, abbiamo una query lucene che filtra i documenti in base alla proprietà utilizzando una variabile denominata. @hostname $hostname Utilizza anche una variabile nella casella di immissione del gruppo Termini per campo. Ciò consente di utilizzare una variabile per modificare rapidamente il modo in cui i dati vengono raggruppati.

Annotazioni

Le annotazioni consentono di sovrapporre informazioni dettagliate sugli eventi ai grafici. È possibile aggiungere interrogazioni di annotazione utilizzando il menu Dashboard o la vista Annotazioni. Grafana può interrogare qualsiasi OpenSearch indice per gli eventi di annotazione. Per ulteriori informazioni, consulta Annotazioni.

Nome	Descrizione
Query	È possibile mantenere vuota la query di ricerca o specificare una query Lucene.
Time	Il nome del campo temporale; deve essere il campo della data.
Time End	Il nome opzionale del campo di fine orario deve essere campo data. Se impostato, le annotazioni verranno contrassegnate come una regione compresa tra l'ora e la fine del tempo.
Text	Campo di descrizione dell'evento.
Tags	Nome di campo opzionale da utilizzare per i tag degli eventi (può essere un array o una stringa CSV).

Esecuzione di query su log di

L'interrogazione e la visualizzazione dei dati di registro sono disponibili in OpenSearch Explore. Per visualizzare i registri, seleziona l'origine dati del OpenSearch servizio, quindi inserisci facoltativamente una query Lucene. Per ulteriori informazioni, consulta Esplora.

Registra le interrogazioni

Dopo la restituzione del risultato, il pannello di registro mostra un elenco di righe di registro e un grafico a barre in cui l'asse x mostra l'ora e l'asse y la frequenza o il conteggio.

Filtraggio dei messaggi di registro

Facoltativamente, inserisci una query Lucene nel campo della query per filtrare i messaggi di registro. Ad esempio, utilizzando una configurazione Filebeat predefinita, dovresti essere in grado di mostrare solo i messaggi fields.level:error di registro degli errori.