Timelion教程 - 从入门到精通

Timelion Tutorial – From Zero to Hero

　　本教程是与官方Elastic博客交叉刊登的。

　　Timelion是Kibana时间序列的可视化工具。时间序列可视化是可视化的，以时间顺序分析数据。Timelion可用于绘制二维图形，时间绘制在x轴上。

　　与使用简单的条形图或线条可视化相比有什么优势？Timelion采取不同的方法。使用timelion特定语法，您通过将功能链接在一起来定义图形，而不是使用可视化编辑器创建图表。该语法启用了经典点系列图不提供的一些功能，如将不同索引或数据源的数据绘制到一个图形中。

　　本教程将首先简要介绍Kibana中的timelion UI，然后再解释timelion语法并显示几个用例，您无法或仍然无法使用古典Kibana可视化。

The user interface

　　您可以从页面左侧的主导航访问timelion。

　　您可以在时间表上有多个图表。要向工作表添加新图表，请使用顶部菜单栏中的“添加”链接。新的将创建一个全新的工作表。

 　　窗口顶部的输入框显示当前所选图形的表达式。点击图表选择它进行编辑。您将在本教程中看到的所有表达式将被插入到该文本框中。

 　　使用菜单中的“保存”按钮，您可以将整个时间表存储在其所有图形中，也可以将当前聚焦的图形存储为可视化文件，您可以在任何仪表板上放置。

 　　当前显示的数据的日期范围可能受到页面右上角的众所周知的日期选择器的影响。要设置x轴的比例，使用表达式输入旁边的选择框。默认情况下，它设置为“自动”，根据所选择的时间范围，它将自动确定一个很好的比例。如果你想强制每天一个数据点，您可以将其设置为1d。

Timelion expressions

　　最简单的表达式 - 也将自动用于新图形如下：

.es(*)

　　Timelion函数始终以点开始，后跟函数名称，后跟括号，其中包含函数的所有参数（在本例中仅为星号）。

 　　.es（或.elasticsearch，如果您是打长字的粉丝）功能从Elasticsearch收集数据并绘制它随着时间的推移。

 　　如果您没有在表达式中指定索引（我们将在稍后看到如何执行此操作），则会查询Elasticsearch的所有索引。您可以更改默认值，通过修改在Kibana的高级设置中的timelion：es.default_index设置。

　　默认情况下，.es函数只会对文档数进行计数，从而显示一段时间内文档数量的图表。

 　　如果您输入这个简单的表达式并且只得到一个平线，即使您选择了包含数据的日期范围：很可能您的数据没有使用@timestamp作为主时间字段的名称。您可以通过高级设置中的timelion：es.timefield设置来更改默认名称，也可以使用.es函数中的timefield参数将其设置为单个系列。您将在下一节中看到如何设置参数。

Function parameters

　　函数可以有多个参数，而.es函数也是如此。每个参数都有一个名称，您可以在括号内使用它来设置其值。

　　参数也有一个顺序，由自动填充显示或文档显示（使用顶部菜单中的“文档”按钮）。如果不指定参数名称，timelion将按照它们在文档中列出的顺序将参数值分配给参数。

　　.es函数的第一个参数是参数q（查询），它是一个用于过滤该系列数据的查询字符串。您还可以通过其名称显式引用此参数，我总是建议这样做，一旦将多个参数传递给函数时。因此，以下两个表达式是等效的：

.es(*)
.es(q=*)

　　多个参数用逗号分隔。.es函数具有另一个称为index的参数，可用于指定此系列的索引模式，因此查询将不会再次执行所有索引（或任何您将上述设置更改为）。

.es(q=*, index=logstash-*)

　　如果参数的值包含空格或逗号，则必须将该值放在单引号或双引号中。否则可以省略这些引号

.es(q='some query', index=logstash-*)

Chaining functions

 　　很多的timelion函数用于修改一系列数据。通过链接表达式中的函数来应用这些。.label函数是这样的功能。您可以使用它来更改系列的标签：

.es(q=country:de).label(Germany)

　　您还可以链接多个表达式，我们将在本教程后面看到。

Multiple series

　　使用timelion的优点之一是可以将多个时间序列添加到一个图表中。多个系列必须简单地用逗号分隔在表达式中：