Kibana：在 Kibana 中 discover 的演变

Posted 2022-11-26 Elastic 中国社区官方博客

作者：Matthias Polman-Wilhelm

引入新的增强型数据表、字段统计和警报规则创建。

Discover 已经存在了很长一段时间。 尽管如此，它仍然是 Kibana 最常用的部分之一，允许你搜索和查看 Elasticsearch 的索引文档。 2015 年，它作为 Kibana 4 的一部分发布。让我们来看看数据发现的早期阶段：

在 5.6 中，添加了允许用户查看所选文档的周围文档的最后一项重大更改（当时它是一个单独的插件）。 在 6.x 和 7.x 期间，我们专注于消除技术债务（technical debt），例如从 Angular 1 迁移到 React 以及迁移到 Kibana 的新平台。

现在在 8.x 中，我们一直在不断地添加重大更改。 我们最近引入了一个新的增强文档表、字段统计信息以及创建搜索阈值警报的功能。 下面的屏幕截图显示了最近添加或更改的内容：

文档资源管理器 — 新的增强型数据表

在 8.2 中，由我们优秀的设计库 EUI 的 EuiDataGrid 提供支持的对我们的数据表的重大更改变得普遍可用。 许多用户要求能够配置表格列的宽度。 现在，这可以通过拖放来实现。

[相关文章：Elasticsearch、Kibana、Elastic Cloud 8.2：通过 Discover 中的数据探索提升洞察力]

优化以充分利用可用屏幕空间以揭示潜在异常：

Resize columns

这同样适用于垂直屏幕空间的使用。 你现在可以在显示 1-20 行之间进行选择。 如果这还不够，只需选择自动适合以获得更大的图片。

Discover row height adjustment

如果你想知道如何在表格中显示图片，这个功能已经存在了很长一段时间。 最近我们添加了一个指向该列的上下文菜单的链接，因此访问起来更加容易。

该链接会打开一个浮出控件，允许你设置自定义标签并编辑字段的格式（字段格式化程序）。 将格式设置为 URL 时，选择图像类型。 这会将实际字段的 URL 转换为显示的图像。

更重要的是，我们改进了多个字段的排序。 使用经典表时很混乱，而混乱是一个需要修复的错误。 现在，你可以通过拖放更改要排序的字段顺序，并在一个简单的界面中删除排序字段以进行排序。

discover-sorting

想要消除干扰以专注于你的数据？ 切换到全屏模式！ 当你想要专注于仪表板上显示的数据时，这尤其有用。

full-screen

还有一件事：你可以选择文档并手动过滤到搜索的子集，在弹出窗口中查看这些文档。 这是仪表板上特别好的体验。 在此弹出窗口中，你可以搜索和固定字段并使用分页查看上一个或下一个文档。

Discover selection

总而言之，Discover 现在能够以更好、更可配置的方式调整数据视图。 除此之外，我们还在 Discover 中提供了一个新工具，帮助你更好地获取数据。

Discover 中的新功能：现场统计数据！

Kibana 的机器学习提供数据可视化器（Data visualizer）已有一段时间了。 在 8.1 中，它被添加到 Discover 标记的 Field statistics 信息中。 它提供了一种方便的方法来更深入地了解 Elasticsearch 中的数据结构。 想要快速了解一个字段的最高值、它的基数、包含它的文档的百分比以及它的分布？ 现在只需单在 Discover 点击即可。

速度至关重要

为了更快地提供有关查询结果的信息，我们将请求拆分到 Elasticsearch。 现在有一个请求获取匹配的文档，另一个请求获取显示直方图所需的聚合数据，包括命中总数。 因此，通常在查询大量数据时，匹配的文档会更快地显示出来，而返回准确的命中数和聚合数据可能需要更长的时间。 无论先返回哪个数据，信息可见的速度更快。

Discover speed

提示：如果你对直方图不感兴趣，可以将其隐藏以获得更多垂直空间。 如果你只对直方图感兴趣，有一个按钮可以将你带到 Lens。 这样，您可以进一步探索和自定义此可视化。

Discover 中的警报

从 8.3 开始，Discover 支持你不再错过在 Elasticsearch 中摄取特别感兴趣的文档。 关键断开的日志消息，大于一定数量的在线订单，服务器的身份验证日志报告奇怪的数据-任何重要的信息都可以转换为通知。

为此，Discover 现在提供了一种创建警报规则的简单方法。 建议首先选择你选择的数据视图，然后通过添加查询和过滤器来缩小数据范围。 提交请求并对创建新警报规则的结果感到满意后，在 Discover 的工具栏中选择警报/创建搜索阈值规则。 此操作会打开一个弹出菜单，该弹出菜单提供各种参数来配置新的阈值警报。 Kibana 提供了许多在满足条件时要执行的操作，包括电子邮件、Slack、Pager duty、ServiceNow 等等。

Discover alerting

下一步是什么

从一开始，Discover 总是有一个要求来开始查询数据：现有的数据视图（也就是我们最近重命名之前的索引模式）。 在开始之前，你总是需要 Kibana 的堆栈管理。 很快这将不再需要。 即使没有可用的数据视图，你也可以转到 Discover，输入你感兴趣的模式匹配索引并获得结果。 因此，你可以专注于重要的事情：通过查询数据获得快速答案。

免责声明：屏幕截图中使用的图片经 Discover 的 Elasticat Karli 友好许可使用。