Bosunlsstat


Parámetros

Parámetro Detalles
indexRoot El nombre raíz del índice a golpear, se espera que el formato sea fmt.Sprintf("%s-%s", index_root, d.Format("2006.01.02"))
keyString Crea grupos (como conjuntos de etiquetas) y también puede filtrar esos grupos. Es el formato de "field:regex,field:regex..." . El :regex puede ser omitido.
filterString Una consulta de expresión regular elástica que se puede aplicar a cualquier campo. Está en el mismo formato que el argumento de la cadena de claves.
campo El campo en ElasticSearch para realizar la operación. Debe ser un campo numérico.
rStat Puede ser uno de avg , min , max , sum , sum_of_squares , variance , std_deviation
bucketDuration El mismo formato es una duración de opentsdb, y es el tamaño de los cubos devueltos (es decir, cuenta cada 10 minutos)
inicioDuración configure la ventana de tiempo a partir de ahora: vea la función q() OpenTSDB para obtener más detalles.
endDuration configure la ventana de tiempo a partir de ahora: vea la función q() OpenTSDB para obtener más detalles.

Observaciones

Deprecación

Las funciones de consulta de LogStash están en desuso y solo se usan con v1.x de ElasticSearch. Si está ejecutando v2 o superior de ElasticSearch, debe consultar las funciones de Elastic Query.

Advertencias

  • Actualmente no hay escapatoria en la cadena de claves, por lo que si tu expresión regular necesita tener una coma o una comilla doble, no tienes suerte.
  • Las expresiones regulares en la cadena de claves se aplican dos veces. Primero como un filtro de expresión regular para elástico, y luego como un regexp ir a las claves del resultado. Esto se debe a que el valor podría ser una matriz y obtendrá grupos que deben filtrarse. Esto significa que el lenguaje regex es la intersección de la especificación goex regex y la especificación elastic regex. Usos elásticos lucex estilo regex. Esto significa que las expresiones regulares siempre están ancladas (consulte la documentación).
  • Si el tipo del valor de campo en Elastic (también conocido como mapeo) es un número, las expresiones regulares no actuarán como una expresión regular. Lo único que puede hacer es una coincidencia exacta en el número, es decir, "eventlogid: 1234". Se recomienda que todo lo que sea un identificador se almacene como una cadena, ya que no son números, incluso si están compuestos completamente de números.
  • Es probable que las alertas que utilizan esta información deseen establecer ignoreUnknown, ya que solo los "grupos" que aparecen en el marco de tiempo están en los resultados

lsstat Ejemplos relacionados