索引模式

索引模式是访问 UDB-SX 数据的关键要素。索引模式 引用一个或多个索引、数据流或索引别名。例如,一个索引模式可以指向你昨天的日志数据,或所有包含该数据的索引。

如果你的数据存储在多个索引中,创建索引模式可以使你的可视化从所有符合该索引模式的索引中检索数据。你需要创建索引模式来定义数据的检索方式和字段的格式化方式,以便进行查询、搜索和数据展示。

入门指南

本教程将介绍如何创建索引模式。

注意: 若要创建或修改索引模式,你必须具备创建、管理和删除权限。请联系管理员以获取支持。更多信息请参阅 多租户配置(Multi-tenancy configuration)

先决条件

在创建索引模式之前,你的数据必须已被索引。要了解如何在 UDB-SX 中索引数据,请参阅 管理索引

最佳实践

在创建索引模式时,请考虑以下最佳实践:

  • 使索引模式更具体(Make your index patterns specific)。 不要创建匹配所有索引的模式,而应创建匹配特定前缀(如 my-index-)开头的索引模式。索引模式越具体,查询和分析数据的性能就越好。

  • 谨慎使用通配符(Use wildcards sparingly)。
    通配符有助于匹配多个索引,但也会使索引模式管理变得困难。尽量将通配符使用得更具体。

  • 测试索引模式(Test your index patterns)。
    测试你的索引模式以确保它们匹配正确的索引。

创建索引模式(Creating an index pattern)

如果你已经添加了示例数据,那么系统中已有可用于分析这些数据的索引模式。要为你自己的数据创建索引模式,请按照以下步骤操作。

步骤 1:定义索引模式(Define the index pattern)

  1. 打开 UDB-SX Dashboards,选择 管理 > 控制面板管理 > 索引模式

  2. 选择 创建索引模式

  3. 创建索引模式 窗口中,通过在 索引模式名称 字段中输入名称来定义索引模式。 使用通配符*有助于让索引模式匹配多个数据源或索引。 输入时会出现一个下拉列表,显示所有与索引模式匹配的索引。

  4. 选择 下一步

下图展示了步骤 1 的示例。请注意,索引模式 security* 匹配三个索引。通过使用通配符 * 定义模式,你可以查询和可视化所有这些索引中的数据。

../../_images/index_pattern.png

步骤 2:配置设置(Configure the settings)

  1. 从下拉菜单中选择 @timestamp,以指定 UDB-SX 在基于时间过滤文档时要使用的时间字段。选择此时间过滤器决定时间筛选应用于哪个字段。它可以是请求的时间戳,也可以是任何相关的时间字段。如果你不希望使用时间过滤器,可从下拉菜单中选择对应选项。若选择此选项,UDB-SX 将返回与索引模式匹配的所有数据。

  2. 选择 创建索引模式。示例如下图所示。

    ../../_images/index_pattern02.png

  • 索引模式创建完成后,你可以查看匹配索引的映射信息。在表格中,你可以看到字段列表及其数据类型和属性。示例如下图所示。

../../_images/index_pattern03.png