在Kibana的Discover面板中Time字段有多个值

Posted 2023-04-06

①将Time对应字段的store设置为false，即不存储（同时可视情况将include_in_all也设置为false）。
②在Kibana的Management/Index Patterns/Source Filters中，将对应的字段过滤掉。
以上方案根据自己的情况任选其一，问题定位分析过程就不分享了，祝好！ 参考技术A ①将Time对应字段的store设置为false，即不存储（同时可视情况将include_in_all也设置为false）。
②在Kibana的Management/Index Patterns/Source Filters中，将对应的字段过滤掉

Kibana：在 Lens 和 Discover 中轻松地创建 runtime fields 以分析数据 - 7.13 版本

你是否曾经有过一个很棒的问题想要深入研究，但缺乏做进一步探索所需的数据？现在，分析师使用 Discover 和 Kibana Lens 中的运行时字段，便可调整数据呈现形式以回答更广泛和更具创新性的问题，进而快速获得见解。

运行时字段让分析师在探索和增强他们所用数据方面迈出了坚实的第一步。使用运行时字段编辑器，分析师可以从 Discover 和 Kibana Lens 实时创建字段，以对数据进行格式化、修改和转换，而无需导航到其他屏幕或联系 Elasticsearch 管理员。

在我之前的文档里，我介绍了 Scripted fields，它也可以轻松地实现相应的功能：

• Kibana：使用 Scripted fields 来提高数据的可观测性

• Kibana：运用 script fields 对数据进行清洗

在今天的练习中，我将展示如何在 Kibana Lens 中创建运行时字段（runtime fields）来分析数据。有关 runtime fields，你可以阅读我之前的文章：

• Elasticsearch：使用 Runtime fields 对索引字段进行覆盖处理以修复错误 - 7.11 发布

• Elasticsearch：创建 Runtime field 并在 Kibana 中使用它 - 7.11 发布

• Elasticsearch：动态创建 Runtime fields - 7.11 发行版

在今天的练习中，我们必须记住的一点是我们必须使用 7.13 及以后的版本！

准备数据

在今天的练习中，我想使用 Kibana 中自带的数据：

这样我们就把一个叫做 ç的索引导入到 Kibana 中去了。

我们可以在 Discover 中看到一个叫做 @timestamp 的字段。这个字段是事件的发生时间。kibana_sample_data_logs 是开发者或者用户访问 Elastic 官方网站的数据。我们很像知道在一周的时间里到底是哪一天开发者或者用户最喜欢访问 elastic.co 的网站。我们需要一个叫做 day_of_week 的字段，但是在我们的数据里，它没有这个字段，那么我们该怎么办呢？我们知道知道这个信息是可以通过 @timestamp 这个时间信息来得到。在下面的演示中，我将介绍如何通过创建一个 runtime field 来实现这个目的。

创建运行时字段

我们打开 Kibana 中的 Lens 可视化：

我们在 Set Value 处，填入如下的代码：

def days=["MON", "TUE", "WED", "THUR", "FRI", "SAT", "SUN"]; emit(days[doc['@timestamp'].value.getDayOfWeek()-1]);

点击 Save 按钮：

我们马上就可以在左边看到一个新增加的字段 day_of_week：

我们可以按照这个新的字段来对数据进行可视化：

从上面，我们可以看出来在星期天访问我们的网站的人稍微多一些。这个也许是大家在周末的时间学习 Elastic 技术吧。

同样地，我们也可以在 Discover 的界面来创建 runtime fields：

 创建的过程和上面的是一样的。这里就不再累述了。