Usando a fonte OpenSearch de dados do Amazon Service

Editor de consultas de métricas

O editor de OpenSearch consultas permite que você selecione várias métricas e agrupe por vários termos ou filtros. Use os ícones de mais e menos à direita para adicionar/remover métricas ou agrupar por cláusulas. Algumas métricas e cláusulas agrupadas por cláusulas têm opções. Escolha o texto da opção para expandir a linha\ para visualizar e editar métricas ou agrupar por opções.

Usando a Linguagem de Processamento Tubulado (PPL)

A fonte OpenSearch de dados do Amazon Service suporta a Piped Processing Language (PPL), que permite recursos de consulta e visualização mais simples e poderosos para OpenSearch. O PPL permite que os clientes explorem e encontrem dados sem precisar compor longas declarações de linguagem específica de OpenSearch domínio (DSL) ou escrever consultas usando objetos JSON. Com o PPL, você pode escrever consultas como um conjunto de comandos delimitados por canais semelhantes aos tubos UNIX.

Veja o exemplo de consulta DSL a seguir como exemplo:

GET opensearch_sample_data_logs/_search{"from":0,"size":0,"timeout":"1m","query":{"bool":{"should":[{"term":{"response.keyword":{"value":"404","boost":1}}},{"term":{"response.keyword":{"value":"503","boost":1}}}],"adjust_pure_negative":true,"boost":1}},"sort":[{"_doc":{"order":"asc"}}],"aggregations":{"composite_buckets":{"composite":{"size":1000,"sources":[{"host":{"terms":{"field":"host.keyword","missing_bucket":true,"order":"asc"}}},{"response":{"terms":{"field":"response.keyword","missing_bucket":true,"order":"asc"}}}]},"aggregations":{"request_count":{"value_count":{"field":"request.keyword"}},"sales_bucket_sort":{"bucket_sort":{"sort":[{"request_count":{"order":"desc"}}],"size":10}}}}}}>

A consulta DSL anterior pode ser substituída pelo seguinte comando PPL, que é conciso e legível por humanos.

source = opensearch_sample_data_logs | where response='404' or response='503' | stats count(request) as request_count by host, response | sort –request_count

Para obter mais informações sobre PPL, consulte Consultar dados do Amazon OpenSearch Service usando linguagem de processamento canalizada.

Padrões de nomes e aliases de séries

Você pode controlar o nome das séries temporais usando o campoAlias de entrada.

Pattern	Descrição
{{term fieldname}}	Substituído pelo valor de um termo Group By.
{{metric}}	Substituído pelo nome da métrica (ex. Média, mínimo, máximo).
{{field}}	Substituído pelo nome do campo métrico.

Métricas do Speline

Algumas agregações métricas são chamadas de agregações de pipeline; por exemplo, média móvel e derivada. OpenSearch as métricas do pipeline exigem que se baseiem em outra métrica. Use o ícone de olho ao lado da métrica para impedir que as métricas apareçam no gráfico. Isso é útil para métricas que você só tem na consulta para uso em uma métrica de pipeline.

Modelagem

Em vez de codificar coisas como servidor, aplicativo e nome do sensor em suas consultas métricas, você pode usar variáveis em seu lugar. As variáveis são mostradas como caixas de seleção suspensas na parte superior do painel. Você pode usar essas caixas suspensas para alterar os dados exibidos em seu painel.

Para obter mais informações sobre modelagem e variáveis de modelo, consulteModelos e variáveis.

Variável de consulta

A fonte OpenSearch de dados do serviço oferece suporte a dois tipos de consultas que você pode usar no campo Consulta das variáveis de consulta. A consulta é escrita usando uma string JSON personalizada.

Query	Descrição
{"find": "fields", "type": "keyword"}	Retorna uma lista de nomes de campo com o tipo de índicekeyword.
{"find": "terms", "field": "@hostname", "size": 1000}	Retorna uma lista de valores para um campo usando agregação de termos. A consulta usará o intervalo de tempo atual do painel como intervalo de tempo para consulta.
{"find": "terms", "field": "@hostname", "query": '<lucene query>'}	Retorna uma lista de valores para um campo usando agregação de termos e um filtro de consulta Lucene especificado. A consulta usará o intervalo de tempo atual do painel como intervalo de tempo para consulta.

Há um limite de tamanho padrão de 500 nas consultas de termos. Para definir um limite personalizado, defina a propriedade de tamanho em sua consulta. Você pode usar outras variáveis dentro da consulta. O exemplo de código a seguir mostra a definição da consulta para uma variável chamada$host.

{"find": "terms", "field": "@hostname", "query": "@source:$source"}

No exemplo anterior, usamos outra variável nomeada$source dentro da definição da consulta. Sempre que você altera, usando a lista suspensa, o valor atual da$source variável, ele inicia uma atualização da$host variável. Após a atualização, a$host variável contém somente nomes de host filtrados, nesse caso, pela propriedade do@source documento.

Essas consultas, por padrão, retornam os resultados na ordem dos termos (que podem então ser classificados alfabética ou numericamente, como para qualquer variável). Para produzir uma lista de termos classificados por contagem de documentos (uma lista de valores entre os N principais), adicione umaorderBy propriedade dedoc_count. Isso seleciona automaticamente uma classificação decrescente. O usoasc com doc_count (uma lista de baixo N) pode ser feito por meio da configuraçãoorder: "asc", mas é desencorajado porque aumenta o erro na contagem de documentos. Para manter os termos na ordem de contagem de documentos, defina a lista suspensa Classificar da variável como Desativado. Como alternativa, talvez você ainda queira usar o Alfabético para reordená-los.

{"find": "terms", "field": "@hostname", "orderBy": "doc_count"}

Usar variáveis em consultas

Há duas sintaxes:

• $<varname>Exemplo: @hostname: $hostname

• [[varname]]Exemplo: @hostname: [[hostname]]

Por que duas maneiras? A primeira sintaxe é mais fácil de ler e escrever, mas não permite usar uma variável no meio de uma palavra. Quando as opções Multivalor ou Incluir todos os valores estão ativadas, o Grafana converte os rótulos de texto simples em uma condição compatível com Lucene.

No exemplo anterior, temos uma consulta lucene que filtra documentos com base na@hostname propriedade usando uma variável chamada$hostname. Também está usando uma variável na caixa de entrada do grupo Termos por campo. Isso permite que você use uma variável para alterar rapidamente a forma como os dados são agrupados.

Anotações

As anotações permitem que você sobreponha informações ricas sobre eventos sobre os gráficos. Você adiciona consultas de anotação usando o menu Painel ou a visualização Anotações. O Grafana pode consultar qualquer OpenSearch índice para eventos de anotação. Para obter mais informações, consulte Anotações.

Nome	Descrição
Query	Você pode manter a consulta de pesquisa em branco ou especificar uma consulta Lucene.
Time	O nome do campo de hora; deve ser um campo de data.
Time End	O nome opcional do campo de término do horário deve ser campo de data. Se definido, as anotações serão marcadas como uma região entre a hora e o fim da hora.
Text	Campo de descrição do evento.
Tags	Nome de campo opcional a ser usado para tags de eventos (pode ser uma matriz ou uma string CSV).

Consulta de logs do

A consulta e a exibição de dados de registro do OpenSearch estão disponíveis no Explore. Para exibir seus registros, selecione a fonte OpenSearch de dados do Serviço e, opcionalmente, insira uma consulta Lucene. Para obter mais informações, consulte Explorar.

Consultas de log

Depois que o resultado é retornado, o painel de registro mostra uma lista de linhas de registro e um gráfico de barras em que o eixo x mostra a hora e o eixo y mostra a frequência ou contagem.

Filtrar mensagens de log

Opcionalmente, insira uma consulta Lucene no campo de consulta para filtrar as mensagens de log. Por exemplo, usando uma configuração padrão do Filebeat, você deve poder usarfields.level:error para mostrar somente mensagens de registro de erros.