Usando a fonte de dados OpenSearch do Amazon Service

Editor de consultas métricas

O editor de OpenSearch consultas permite selecionar várias métricas e agrupar por vários termos ou filtros. Use os ícones de mais e menos à direita para adicionar/remover métricas ou agrupar por cláusulas. Algumas métricas e cláusulas agrupadas por têm opções. Escolha o texto da opção para expandir a linha\ para visualizar e editar a métrica ou agrupar por opções.

Usando a linguagem de processamento canalizado (PPL)

A fonte OpenSearch de dados do Amazon Service oferece suporte à Piped Processing Language (PPL), que permite recursos de consulta e visualização mais simples e poderosos para. OpenSearch O PPL permite que os clientes explorem e encontrem dados sem precisar compor longas declarações DSL ( OpenSearch Domain Specific Language) ou escrever consultas usando objetos JSON. Com o PPL, você pode escrever consultas como um conjunto de comandos delimitados por canais semelhantes aos canais UNIX.

Veja o exemplo de consulta DSL a seguir como exemplo:

GET opensearch_sample_data_logs/_search{"from":0,"size":0,"timeout":"1m","query":{"bool":{"should":[{"term":{"response.keyword":{"value":"404","boost":1}}},{"term":{"response.keyword":{"value":"503","boost":1}}}],"adjust_pure_negative":true,"boost":1}},"sort":[{"_doc":{"order":"asc"}}],"aggregations":{"composite_buckets":{"composite":{"size":1000,"sources":[{"host":{"terms":{"field":"host.keyword","missing_bucket":true,"order":"asc"}}},{"response":{"terms":{"field":"response.keyword","missing_bucket":true,"order":"asc"}}}]},"aggregations":{"request_count":{"value_count":{"field":"request.keyword"}},"sales_bucket_sort":{"bucket_sort":{"sort":[{"request_count":{"order":"desc"}}],"size":10}}}}}}>

A consulta DSL anterior pode ser substituída pelo seguinte comando PPL, que é conciso e legível por humanos.

source = opensearch_sample_data_logs | where response='404' or response='503' | stats count(request) as request_count by host, response | sort –request_count

Para obter mais informações sobre PPL, consulte Consultar dados do Amazon OpenSearch Service usando a linguagem de processamento canalizada.

Padrões de nomenclatura e alias de séries

Você pode controlar o nome da série temporal usando o campo Alias de entrada.

Padrão	Descrição
{{term fieldname}}	Substituído pelo valor de um termo Agrupar por.
{{metric}}	Substituído pelo nome da métrica (ex. Média, mínimo, máximo).
{{field}}	Substituído pelo nome do campo métrico.

Métricas do pipeline

Algumas agregações métricas são chamadas de agregações de pipeline; por exemplo, média móvel e derivada. OpenSearch as métricas do pipeline exigem que outra métrica se baseie. Use o ícone de olho ao lado da métrica para impedir que as métricas apareçam no gráfico. Isso é útil para métricas que você só tem na consulta para uso em uma métrica de pipeline.

Modelagem

Em vez de codificar itens como nome do servidor, do aplicativo e do sensor em suas consultas métricas, você pode usar variáveis em seu lugar. As variáveis são mostradas como caixas de seleção suspensas na parte superior do painel. Você pode usar essas caixas suspensas para alterar os dados exibidos em seu painel.

Para obter mais informações sobre modelos e variáveis de modelo, consulteModelos e variáveis.

Variável de consulta

A fonte OpenSearch de dados de serviço oferece suporte a dois tipos de consultas que você pode usar no campo Consulta das variáveis de consulta. A consulta é escrita usando uma string JSON personalizada.

Consulta	Descrição
{"find": "fields", "type": "keyword"}	Retorna uma lista de nomes de campo com o tipo de índicekeyword.
{"find": "terms", "field": "@hostname", "size": 1000}	Retorna uma lista de valores para um campo usando agregação de termos. A consulta usará o intervalo de tempo atual do painel como intervalo de tempo para a consulta.
{"find": "terms", "field": "@hostname", "query": '<lucene query>'}	Retorna uma lista de valores para um campo usando agregação de termos e um filtro de consulta Lucene especificado. A consulta usará o intervalo de tempo atual do painel como intervalo de tempo para a consulta.

Há um limite de tamanho padrão de 500 nas consultas de termos. Para definir um limite personalizado, defina a propriedade de tamanho na sua consulta. Você pode usar outras variáveis dentro da consulta. O exemplo de código a seguir mostra a definição da consulta para uma variável chamada$host.

{"find": "terms", "field": "@hostname", "query": "@source:$source"}

No exemplo anterior, usamos outra variável chamada $source dentro da definição da consulta. Sempre que você altera, usando a lista suspensa, o valor atual da $source variável, ele inicia uma atualização da variável. $host Após a atualização, a $host variável contém somente nomes de host filtrados, nesse caso, pela propriedade do @source documento.

Essas consultas, por padrão, retornam os resultados em ordem de termos (que podem então ser classificados em ordem alfabética ou numérica como para qualquer variável). Para produzir uma lista de termos classificados por contagem de documentos (uma lista de valores com N principais), adicione uma orderBy propriedade de. doc_count Isso seleciona automaticamente uma classificação decrescente. O uso asc com doc_count (uma lista inferior) pode ser feito configurandoorder: "asc", mas é desencorajado porque aumenta o erro na contagem de documentos. Para manter os termos na ordem de contagem de documentos, defina a lista suspensa Classificar da variável como Desativada. Como alternativa, talvez você ainda queira usar o Alfabético para reordená-los.

{"find": "terms", "field": "@hostname", "orderBy": "doc_count"}

Usando variáveis em consultas

Há duas sintaxes:

• $<varname>Exemplo: @hostname: $hostname

• [[varname]]Exemplo: @hostname: [[hostname]]

Por que duas maneiras? A primeira sintaxe é mais fácil de ler e escrever, mas não permite que você use uma variável no meio de uma palavra. Quando as opções Multivalor ou Incluir todos os valores estão habilitadas, o Grafana converte os rótulos de texto simples em uma condição compatível com Lucene.

No exemplo anterior, temos uma consulta lucene que filtra documentos com base na @hostname propriedade usando uma variável chamada. $hostname Ele também está usando uma variável na caixa de entrada do grupo Termos por campo. Isso permite que você use uma variável para alterar rapidamente a forma como os dados são agrupados.

Anotações

As anotações permitem que você sobreponha informações ricas sobre eventos aos gráficos. Você adiciona consultas de anotação usando o menu Painel ou a visualização Anotações. Grafana pode consultar qualquer OpenSearch índice para eventos de anotação. Para ter mais informações, consulte Anotações.

Nome	Descrição
Query	Você pode manter a consulta de pesquisa em branco ou especificar uma consulta do Lucene.
Time	O nome do campo de hora; deve ser campo de data.
Time End	O nome opcional do campo de fim da hora deve ser campo de data. Se definidas, as anotações serão marcadas como uma região entre a hora e o fim da hora.
Text	Campo de descrição do evento.
Tags	Nome de campo opcional a ser usado para tags de eventos (pode ser uma matriz ou uma string CSV).

Consultar os logs do

A consulta e a exibição de dados de registro OpenSearch estão disponíveis no Explore. Para exibir seus registros, selecione a fonte de dados do OpenSearch Serviço e, opcionalmente, insira uma consulta do Lucene. Para ter mais informações, consulte Explorar.

Registrar consultas

Depois que o resultado é retornado, o painel de registro mostra uma lista de linhas de registro e um gráfico de barras em que o eixo x mostra a hora e o eixo y mostra a frequência ou a contagem.

Filtrando mensagens de log

Opcionalmente, insira uma consulta Lucene no campo de consulta para filtrar as mensagens de log. Por exemplo, usando uma configuração padrão do Filebeat, você deve ser capaz de usar fields.level:error para mostrar somente mensagens de registro de erros.