事件分析
UDB-SX 可观测性中的事件分析功能允许您使用管道处理语言 (PPL) 查询来创建数据可视化图表。
开始使用事件分析
要开始使用,请在 UDB-SX Dashboards 中选择 可观测性,然后选择 日志。如果您想在不添加自有数据的情况下开始探索,请选择 添加示例。Dashboards 将添加您可以交互操作的示例可视化图表。您也可以在 UDB-SX Playground(此处文档可联系售前工作人员获取) 中尝试预配置的分析功能。
构建查询
要生成自定义可视化图表,您必须首先指定一个 PPL 查询。然后,UDB-SX Dashboards 会自动根据您的查询结果创建可视化图表。
例如,以下 PPL 查询返回您数据中当前主机地址的数量统计。
source = opensearch_dashboards_sample_data_logs | fields host | stats count()
默认情况下,Dashboards 显示您最近 15 分钟的数据结果。要查看不同时间范围的数据,请使用日期和时间选择器来选择所需的设置。
有关构建 PPL 查询的更多信息,请参阅 管道处理语言。
保存可视化图表
在 Dashboards 生成可视化图表后,如果您想重新查看或将其包含在运维面板中,请将其保存。要保存可视化图表,请展开右上角的 保存 下拉菜单,输入可视化图表的名称,然后选择 保存 按钮。您可以在事件分析页面重新打开已保存的可视化图表。
创建事件分析可视化图表并将其添加到仪表板
此功能在 UDB-SX Dashboards 2.7 及更高版本中可用。它适用于使用 PPL 查询 UDB-SX 或联邦数据源(如 Prometheus)数据的新可视化图表。
要创建 PPL 可视化图表,请按照以下步骤操作:
在主菜单中,选择 可视化 > PPL。
在 可观测性 > 日志 > 探索器 窗口中,在 PPL query 字段中输入索引源,例如
source = opensearch_dashboards_sample_data_flights | stats count() by DestCountry。必须使用 PPL 语法输入查询。设置时间过滤器,例如 This week,然后选择 刷新。
从右侧边栏的下拉菜单中选择可视化类型,例如 饼图。
选择 保存 并为可视化图表输入名称。
现在,您已经创建了一个新的可视化图表,可以将其添加到新的或现有的仪表板中。要将 PPL 查询添加到仪表板,请按照以下步骤操作:
从主菜单中选择 控制面板。
在 控制面板 窗口中,选择 创建 > Dashboard。
在 编辑新控制面板 窗口中,选择 添加现有。
在 添加 窗口中,从 Types 下拉菜单中选择 PPL,然后选择可视化图表。它现在会显示在您的仪表板上。
选择 保存 并为仪表板输入名称。
要向仪表板添加更多可视化图表,请选择 添加 并遵循步骤 1-5。或者,选择 新建,然后在 新建可视化 窗口中选择 PPL。您将返回到事件分析页面,并遵循前面说明中的步骤 1-5。
以下演示概述了如何创建事件分析可视化图表并将其添加到仪表板。
事件分析可视化图表的限制
事件分析可视化图表目前不支持 Dashboards Query Language (DQL) 或query domain-specific language (DSL),并且不使用索引模式。请注意以下限制:
事件分析可视化图表仅使用通过下拉菜单界面创建的过滤器。如果仪表板中有 DQL 查询或 DSL 过滤器,可视化图表不会使用它们。
Dashboard 过滤器下拉界面仅显示默认索引模式或同一仪表板中其他可视化图表使用的索引模式中的字段。
查看日志
以下是您可以用来查看日志的方法。
查看相关事件
如果您需要关于某个日志事件的更多信息,可以选择 查看周围事件 以获得更全面的、围绕感兴趣时间点的上下文理解。以下演示展示了此功能的实际应用。
实时流式传输日志
如果您更喜欢实时监控,可以设置一个时间间隔,事件分析内容将在此间隔内自动刷新。通过 Live Tail 功能,您可以使用指定的 PPL 查询将日志直接流式传输到 UDB-SX Observability 事件分析,同时利用强大的功能(如过滤器)。这可以增强您的调试过程,并实现无需手动刷新内容的无缝实时日志监控。
通过 Live Tail,您可以选择时间间隔并无缝切换,以控制实时日志流的频率。此功能类似于 tail -f CLI 命令,因为它只检索最近的实时日志,可能会省略大量实时日志。Live Tail 显示在实时流期间 UDB-SX 接收到的实时日志总数,提供对传入流量模式的洞察。
