文档 Grafana 文档 数据源 Elasticsearch 查询编辑器

Elasticsearch 查询编辑器

Grafana 为 Elasticsearch 提供了一个查询编辑器。Elasticsearch 查询采用 Lucene 格式。如果您不熟悉 Elasticsearch 中的 Lucene 查询，请参阅 Lucene 查询语法 和 查询字符串语法。

有关 Grafana 中查询数据源的通用文档，包括所有查询编辑器共有的选项和函数，请参阅查询和转换数据。

聚合类型

Elasticsearch 将聚合分为三类

• 桶（Bucket） - 桶聚合不计算指标，它们根据字段值、范围和各种其他条件创建文档桶。有关更多信息，请参阅 桶聚合。在使用查询构建器创建指标查询时，在 Group by 下使用桶聚合。

• 指标（Metrics） - 指标聚合执行计算，例如求和、平均值、最小值等。它们可以是单值或多值。有关更多信息，请参阅 指标聚合。在使用查询构建器时，在指标查询类型中使用指标聚合。

• 管道（Pipeline） - Elasticsearch 管道聚合处理来自其他聚合（而不是文档或字段）的输入或指标。存在父级和同级管道聚合。有关更多信息，请参阅 管道聚合。

选择查询类型

您可以使用 Elasticsearch 查询构建器创建三种类型的查询。每种类型在下面详细解释。

指标查询类型

指标查询聚合数据并生成各种计算，例如计数、最小值、最大值等。点击指标框以查看下拉菜单中的选项列表。默认值为 count。

• 别名（Alias） - 别名仅适用于时间序列查询，其中最后一个分组是 date histogram。对于任何其他类型的查询，此选项将被忽略。

• 指标（Metric） - 指标聚合包括

  • 计数 - 请参阅 值计数聚合
  • 平均值 - 请参阅 平均值聚合
  • 求和 - 请参阅 求和聚合
  • 最大值 - 请参阅 最大值聚合
  • 最小值 - 请参阅 最小值聚合
  • 扩展统计 - 请参阅 扩展统计聚合
  • 百分位数 - 请参阅 百分位数聚合
  • 唯一计数 - 请参阅 基数聚合
  • 顶部指标 - 请参阅 顶部指标聚合
  • 速率 - 请参阅 速率聚合

在使用 Elasticsearch 查询编辑器时，您可以选择多个指标，并按多个术语或过滤器进行分组。

使用右侧的 + 号向查询添加多个指标。点击 Metric 旁边的眼睛图标隐藏指标，点击垃圾桶图标移除指标。

• 分组选项（Group by options） - 在构建 Elasticsearch 查询时创建多个分组选项。日期直方图是默认选项。以下是下拉菜单中的选项列表。

  • 术语 - 请参阅 术语聚合。
  • 过滤器 - 请参阅 过滤器聚合。
  • 地理哈希网格 - 请参阅 地理哈希网格聚合。
  • 日期直方图 - 用于时间序列查询。请参阅 日期直方图聚合。
  • 直方图 - 描述频率分布。请参阅 直方图聚合。
  • 嵌套 (实验性) - 请参阅 嵌套聚合。

每个分组选项都将有不同的子选项，以进一步缩小您的查询范围。

以下选项特定于日期直方图桶聚合选项。

• 时间字段（Time field） - 显示日期数据选项。默认选项可以在配置 Elasticsearch 数据源时，在 Elasticsearch 详情 部分的 时间字段名称 下指定。否则，将使用 @timestamp 字段作为默认选项。
• 时间间隔（Interval） - 按某种类型的时间间隔进行分组。下拉菜单中有秒、分钟、小时或天的选项可供选择。您还可以添加自定义时间间隔，例如 30d（30 天）。Auto 是默认选项。
• 最小文档计数（Min doc count） - 查询中包含的最小数据量。默认值为 0。
• 稀疏边缘（Thin edges） - 选择裁剪时间序列数据点上的边缘。默认值为 0。
• 偏移（Offset） - 通过指定的正 (+) 或负 (-) 偏移时长更改每个桶的起始值。例如，1h 表示 1 小时，5s 表示 5 秒，1d 表示 1 天。
• 时区（Timezone） - 从下拉菜单中选择一个时区。默认值为 Coordinated universal time（协调世界时）。

为术语桶聚合选项配置以下选项

• 排序（Order） - 设置数据的排序。选项包括 top（顶部）或 bottom（底部）。
• 大小（Size） - 限制文档数量或数据集大小。您可以设置自定义数字或 no limit（无限制）。
• 最小文档计数（Min doc count） - 查询中包含的最小数据量。默认值为 0。
• 排序依据（Order by） - 根据 term value（术语值）、doc count（文档计数）或 count（计数）对术语进行排序。
• 缺失值（Missing） - 定义如何处理缺少值的文档。默认情况下会忽略缺失值，但可以将它们视为具有某个值。有关更多信息，请参阅 Elasticsearch 文档中的 缺失值。

为过滤器桶聚合选项配置以下选项

• 查询（Query） - 指定用于创建文档（数据）桶的查询。例如 hostname:"hostname1"、product:"widget5"。使用 * 通配符匹配任意数量的字符。
• 标签（Label） - 为桶添加标签或名称。

为地理哈希网格桶聚合选项配置以下选项

• 精度（Precision） - 指定地理哈希的字符数。

为直方图桶聚合选项配置以下选项

• 时间间隔（Interval） - 按某种类型的时间间隔进行分组。下拉菜单中有秒、分钟、小时或天的选项可供选择。您还可以添加自定义时间间隔，例如 30d（30 天）。Auto 是默认选项。
• 最小文档计数（Min doc count） - 查询中包含的最小数据量。默认值为 0

嵌套分组选项目前处于实验阶段，您可以选择一个字段，然后根据该字段设置特定选项。

点击 + 号添加多个分组选项。数据将按顺序分组（先按第一个分组，然后按第二个，依此类推）。

日志查询类型

日志查询分析 Elasticsearch 日志数据。您可以配置以下选项

• 日志选项/限制（Logs Options/Limit） - 限制要分析的日志数量。默认值为 500。

原始数据查询类型

运行原始数据查询以检索与每行日志关联的所有字段的表格。

• 原始数据大小（Raw data size） - 原始数据文档数量。您可以指定不同的数量。默认值为 500。

使用模板变量

您还可以通过使用模板变量来增强查询。

terms 查询默认限制为 500 个结果。要设置自定义限制，请在查询中设置 size 属性。