Kibana: agregación y métricas

Los dos términos con los que se encuentra con frecuencia durante su aprendizaje de Kibana son Bucket y Metrics Aggregation. Este capítulo analiza el papel que juegan en Kibana y más detalles sobre ellos.

¿Qué es la agregación de Kibana?

La agregación se refiere a la colección de documentos o un conjunto de documentos obtenidos de una consulta de búsqueda o filtro en particular. La agregación forma el concepto principal para construir la visualización deseada en Kibana.

Siempre que realice una visualización, debe decidir los criterios, lo que significa de qué manera desea agrupar los datos para realizar la métrica en ellos.

En esta sección, discutiremos dos tipos de agregación:

  • Agregación de cubos
  • Agregación métrica

Agregación de cubos

Un cubo consta principalmente de una clave y un documento. Cuando se ejecuta la agregación, los documentos se colocan en el contenedor respectivo. Entonces, al final, debe tener una lista de depósitos, cada uno con una lista de documentos. La lista de agregación de depósitos que verá al crear la visualización en Kibana se muestra a continuación:

La agregación de cubos tiene la siguiente lista:

  • Histograma de fecha
  • Rango de fechas
  • Filters
  • Histogram
  • Rango de IPv4
  • Range
  • Términos importantes
  • Terms

Mientras crea, debe decidir uno de ellos para la agregación de depósitos, es decir, agrupar los documentos dentro de los depósitos.

Como ejemplo, para el análisis, considere los datos de los países que hemos subido al comienzo de este tutorial. Los campos disponibles en el índice de países son nombre de país, área, población, región. En los datos de países, tenemos el nombre del país junto con su población, región y área.

Supongamos que queremos datos regionales. Luego, los países disponibles en cada región se convierten en nuestra consulta de búsqueda, por lo que en este caso la región formará nuestros depósitos. El siguiente diagrama de bloques muestra que R1, R2, R3, R4, R5 y R6 son los depósitos que obtuvimos y c1, c2 ..c25 son la lista de documentos que forman parte de los depósitos R1 a R6.

Podemos ver que hay algunos círculos en cada cubo. Son un conjunto de documentos basados ​​en los criterios de búsqueda y se considera que caen en cada uno de los grupos. En el depósito R1, tenemos los documentos c1, c8 y c15. Estos documentos son los países que caen en esa región, lo mismo para los demás. Entonces, si contamos los países en el Bucket R1, es 3, 6 para R2, 6 para R3, 2 para R4, 5 para R5 y 4 para R6.

Entonces, a través de la agregación de depósitos, podemos agregar el documento en depósitos y tener una lista de documentos en esos depósitos como se muestra arriba.

La lista de agregación de cubos que tenemos hasta ahora es:

  • Histograma de fecha
  • Rango de fechas
  • Filters
  • Histogram
  • Rango de IPv4
  • Range
  • Términos importantes
  • Terms

Analicemos ahora cómo formar estos cubos uno por uno en detalle.

Histograma de fecha

La agregación del histograma de fecha se utiliza en un campo de fecha. Entonces, el índice que usa para visualizar, si tiene un campo de fecha en ese índice, solo se puede usar este tipo de agregación. Se trata de una agregación de varios depósitos, lo que significa que puede tener algunos de los documentos como parte de más de un depósito. Hay un intervalo que se utilizará para esta agregación y los detalles se muestran a continuación:

Cuando seleccione Agregación de depósitos como histograma de fecha, se mostrará la opción Campo, que proporcionará solo los campos relacionados con la fecha. Una vez que seleccione su campo, debe seleccionar el intervalo que tiene los siguientes detalles:

Por lo tanto, los documentos del índice elegido y según el campo y el intervalo elegidos clasificarán los documentos en grupos. Por ejemplo, si elige el intervalo como mensual, los documentos basados ​​en la fecha se convertirán en depósitos y, en función del mes, es decir, de enero a diciembre, los documentos se colocarán en los depósitos. Aquí, enero, febrero ... diciembre serán los cubos.

Rango de fechas

Necesita un campo de fecha para usar este tipo de agregación. Aquí tendremos un rango de fechas, es decir, desde la fecha hasta la fecha. Los cubos tendrán sus documentos basados ​​en el formulario y hasta la fecha dados.

Filtros

Con la agregación de tipo Filtros, los depósitos se formarán en función del filtro. Aquí obtendrá un depósito múltiple formado según los criterios de filtro que un documento puede existir en uno o más depósitos.

Al usar filtros, los usuarios pueden escribir sus consultas en la opción de filtro como se muestra a continuación:

Puede agregar varios filtros de su elección usando el botón Agregar filtro.

Histograma

Este tipo de agregación se aplica en un campo numérico y agrupará los documentos en un depósito según el intervalo aplicado. Por ejemplo, 0-50,50-100,100-150 etc.

Rango de IPv4

Este tipo de agregación se utiliza y se utiliza principalmente para direcciones IP.

El índice que tenemos que es contriesdata-28.12.2018 no tiene campo de tipo IP por lo que muestra un mensaje como se muestra arriba. Si tiene el campo IP, puede especificar los valores Desde y Hasta en él como se muestra arriba.

Rango

Este tipo de agregación necesita que los campos sean del tipo número. Debe especificar el rango y los documentos se enumerarán en los depósitos que se encuentran en el rango.

Puede agregar más rango si es necesario haciendo clic en el botón Agregar rango.

Términos importantes

Este tipo de agregación se usa principalmente en los campos de cadenas.

Condiciones

Este tipo de agregación se utiliza en todos los campos disponibles, a saber, número, cadena, fecha, booleano, dirección IP, marca de tiempo, etc. Tenga en cuenta que esta es la agregación que vamos a utilizar en todas nuestras visualizaciones en las que vamos a trabajar en este tutorial.

Tenemos un orden de opciones mediante el cual agruparemos los datos en función de la métrica que seleccionemos. El tamaño se refiere a la cantidad de depósitos que desea mostrar en la visualización.

A continuación, hablemos de la agregación métrica.

Agregación métrica

La agregación métrica se refiere principalmente al cálculo matemático realizado en los documentos presentes en el depósito. Por ejemplo, si elige un campo numérico, el cálculo métrico que puede hacer en él es COUNT, SUM, MIN, MAX, AVERAGE, etc.

Aquí se proporciona una lista de agregación métrica que discutiremos:

En esta sección, analicemos los importantes que usaremos con frecuencia:

  • Average
  • Count
  • Max
  • Min
  • Sum

La métrica se aplicará a la agregación de cubos individuales que ya hemos comentado anteriormente.

A continuación, analicemos la lista de agregación de métricas aquí:

Promedio

Esto dará el promedio de los valores de los documentos presentes en los depósitos. Por ejemplo

R1 a R6 son los cubos. En R1 tenemos c1, c8 y c15. Considere que el valor de c1 es 300, c8 es 500 y c15 es 700. Ahora, para obtener el valor promedio del cubo R1

R1 = valor de c1 + valor de c8 + valor de c15 / 3 = 300 + 500 + 700/3 = 500.

El promedio es de 500 para el cucharón R1. Aquí, el valor del documento podría ser algo así como si se consideran los datos de los países, podría ser el área del país en esa región.

Contar

Esto le dará el recuento de documentos presentes en el depósito. Suponga que desea el recuento de los países presentes en la región, será el total de documentos presentes en los depósitos. Por ejemplo, R1 será 3, R2 = 6, R3 = 5, R4 = 2, R5 = 5 y R6 = 4.

Max

Esto dará el valor máximo del documento presente en el depósito. Teniendo en cuenta el ejemplo anterior, si tenemos datos de países por área en el segmento de región. El máximo para cada región será el país con el área máxima. Por lo tanto, tendrá un país de cada región, es decir, R1 a R6.

en

Esto le dará el valor mínimo del documento presente en el depósito. Teniendo en cuenta el ejemplo anterior, si tenemos datos de países por área en el segmento de región. El mínimo de cada región será el país con el área mínima. Por lo tanto, tendrá un país de cada región, es decir, R1 a R6.

Suma

Esto dará la suma de los valores del documento presente en el depósito. Por ejemplo, si considera el ejemplo anterior si queremos el área total o países de la región, será la suma de los documentos presentes en la región.

Por ejemplo, para conocer el total de países de la región R1 será 3, R2 = 6, R3 = 5, R4 = 2, R5 = 5 y R6 = 4.

En caso de que tengamos documentos con un área en la región, R1 a R6 tendrá el área del país resumida para la región.