Comment faire “où n'existe pas de” type de filtrage dans Kibana/ELK?

Je suis à l'aide de WAPITIS pour créer des tableaux de bord à partir de mes fichiers de log. J'ai un fichier journal avec des entrées qui contiennent une valeur d'id et d'un succès","/"l'échec" de la valeur, de l'affichage si une opération avec un identifiant donné a réussi ou échoué. Chaque opération/id peut échouer un nombre illimité de fois et à réussir au plus une fois. Dans mon Kibana tableau de bord je veux afficher le nombre d'entrées de journal avec un "échec" de la valeur pour chaque opération carte d'identité, mais je veux filtrer les cas où un "succès" d'une entrée de journal pour l'id existe. c'est à dire que je suis seulement intéressés dans des opérations qui n'a jamais réussi. Tous les conseils pour les trucs qui permettrait de le faire?

InformationsquelleAutor Anton Kupias | 2014-12-18
  1. 84

    C'est facile à Kibana 5 barre de recherche. Il suffit d'ajouter un filtre

    !(_exists_:"your_variable")

    vous pouvez activer /désactiver le filtre ou d'écrire l'inverse de la requête comme 

    _exists_:"your_variable"

    Dans Kibana 4 et Kibana 3 vous pouvez utiliser cette requête qui est maintenant obsolète 

    _missing_:"your_variable"
    • pour référence, voici le lien à l'endroit où l' _ notation pour "existe" et "manquant" est documenté: élastique.co/guide/fr/elasticsearch/de référence/de courant/...
    • merci mlalahoi.
    • _missing_ ne semble pas être présent dans ElasticSearch 5.0 plus. !(_exists_:"field") fonctionne très bien.
    • Merci pour la mise à jour de la syntaxe de la requête @Fedearne !
    InformationsquelleAutor Mlalahoi
  2. 2

    ! (_exists_:NAME) ne fonctionne pas pour moi. J'utilise la suggestion de:

    https://discuss.elastic.co/t/kibana-5-0-0--missing--is-not-working-anymore/64336

    NOT _exists_:NAME

    Mise à JOUR Le problème que j'ai rencontré est que ES la syntaxe interdit les espaces après les opérateurs de négation. Utilisez l'une des:

    NOT _exists_:FIELD
!_exists_:FIELD
-_exists_:FIELD

    Vérifier le tutoriel: https://www.timroes.de/2016/05/29/elasticsearch-kibana-queries-in-depth-tutorial/

    InformationsquelleAutor gavenkoa
  3. -2

    Une option serait de créer une requête pour ce critère dans Kibana. Puis juste avoir votre panneau qui fait le comptage juste pour utiliser cette requête. 

    value:failure

    Plus d'informations ici:
    http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html#query-string-syntax

    • Je peux voir seulement des options pour la sélection d'un document en fonction de son contenu, alors que je suis à la recherche d'une solution qui sélectionne les documents basés sur le contenu d'autres documents, c'est à dire un SQL "n'existe pas" / "pas dans" la requête de style. Ai-je raté quelque chose?
    • N'aurait-il pas de travail suivants pour vous: 1. Dans Kibana, créez une nouvelle requête avec les critères pour obtenir des entrées de journal. Dans votre cas, avec juste valeur:l'échec est probablement suffisant si les données sont sur le même domaine, mais ce serait de travailler avec les opérateurs booléens tels que PAS aussi bien. 2. Ajouter un nouveau Panneau Kibana, des termes simples panneaux à base de doit faire. Pour le Champ paramètres de mettre votre ID que vous souhaitez compter, et ensuite sur les requêtes menu déroulant, sélectionnez Sélectionné et sélectionnez la requête que vous avez fait à l'étape précédente.
    • Le problème, c'est le filtrage par sql "n'existe pas" du style: je veux compter uniquement les entrées avec la valeur=échec lorsque aucune entrée avec la valeur=succès pour le même id existe.
    • OK, alors le ci-dessus ne fonctionnent pas désolé. Si vous avez n'importe quel autre champ qui indique la réussite de l'entrée de journal, vous pouvez l'exclure de la requête, le ci-dessus devrait fonctionner. Aussi, Kibana 4 prend en charge l'agrégation de maintenant, qui peut vous permettre de faire plus avancé, unique compte que vous êtes après.
    InformationsquelleAutor tony v