事件分析

OpenSearch 可观测性中的事件分析允许您使用 管道处理语言 (PPL) 查询创建数据可视化。

事件分析入门

要开始使用，请在 OpenSearch Dashboards 中选择 Observability，然后选择 Logs。如果您想在不添加自己数据的情况下开始探索，请选择 Add samples。Dashboards 会添加您可以与之交互的示例可视化。您还可以在 OpenSearch Playground 中尝试预配置的分析功能。

构建查询

要生成自定义可视化，您必须首先指定一个 PPL 查询。OpenSearch Dashboards 随后会自动根据您的查询结果创建可视化。

例如，以下 PPL 查询会返回当前数据中主机地址的数量。

source = opensearch_dashboards_sample_data_logs | fields host | stats count()

默认情况下，Dashboards 显示您数据中最近 15 分钟的结果。要查看不同时间范围内的数据，请使用日期和时间选择器选择所需的设置。

有关构建 PPL 查询的更多信息，请参阅 管道处理语言。

OpenSearch Dashboards 查询助手

请注意，机器学习模型是概率性的，有些模型可能比其他模型表现更好，因此 OpenSearch Assistant 可能会偶尔产生不准确的信息。我们建议您根据用例的适当性评估输出的准确性，包括审查输出或将其与其他验证因素结合使用。

为了简化查询构建，OpenSearch Assistant 工具包提供了一个助手，可以将自然语言查询转换为 PPL。屏幕截图如下所示。

启用查询助手

默认情况下，OpenSearch Dashboards 中已启用 Query Assistant。要启用响应摘要功能，请找到您的 opensearch_dashboards.yml 文件副本并设置以下选项

observability.summarize.enabled: true
observability.summarize.response_summary_agent_name: "Response summary agent"
observability.summarize.error_summary_agent_name: "Error summary agent"

要禁用 Query Assistant，请将 observability.query_assist.enabled: false 添加到您的 opensearch_dashboards.yml 中。

设置查询助手

要设置 Query Assistant，请按照 GitHub 上的 入门指南 中的步骤操作。本指南提供了 OpenSearch Assistant 和 Query Assistant 的分步设置说明。如果只想设置 Query Assistant，请使用指南中包含的 query-assist-agent 模板。

保存可视化

Dashboards 生成可视化后，如果您想重新查看或将其包含在操作面板中，请保存它。要保存可视化，请展开右上角的 Save 下拉菜单，输入可视化的名称，然后选择 Save 按钮。您可以在事件分析页面上重新打开已保存的可视化。

创建事件分析可视化并将其添加到仪表板

此功能在 OpenSearch Dashboards 2.7 及更高版本中可用。它适用于使用 PPL 查询 OpenSearch 或联合数据源（如 Prometheus）数据的新可视化。

要创建 PPL 可视化，请按照以下步骤操作

1. 在主菜单上，选择 Visualize > PPL。
2. 在 Observability > Logs > Explorer 窗口中，在 PPL query 字段中输入索引源，例如 source = opensearch_dashboards_sample_data_flights | stats count() by DestCountry。您必须使用 PPL 语法输入查询。
3. 设置时间过滤器，例如 This week，然后选择 Refresh。
4. 从右侧边栏下拉菜单中选择可视化类型，例如 Pie。
5. 选择 Save 并为可视化输入名称。

您现在已经创建了一个新的可视化，可以将其添加到新的或现有仪表板中。要将 PPL 查询添加到仪表板，请按照以下步骤操作

1. 从主菜单中选择 Dashboards。
2. 在 Dashboards 窗口中，选择 Create > Dashboard。
3. 在 Editing New Dashboard 窗口中，选择 Add an existing。
4. 在 Add panels 窗口中，从 Types 下拉菜单中选择 PPL，然后选择可视化。它现在显示在您的仪表板上。
5. 选择 Save 并为仪表板输入名称。
6. 要向仪表板添加更多可视化，请选择 Select existing visualization 并按照步骤 1-5 进行操作。或者，选择 Create new，然后在 New Visualization 窗口中选择 PPL。您将返回事件分析页面，并按照前面的说明中的步骤 1-5 进行操作。

以下演示概述了创建事件分析可视化并将其添加到仪表板的过程。

事件分析可视化的局限性

事件分析可视化目前不支持 Dashboards 查询语言 (DQL) 或 查询领域特定语言 (DSL)，并且它们不使用索引模式。请注意以下限制

• 事件分析可视化仅使用通过下拉界面创建的过滤器。如果仪表板中有 DQL 查询或 DSL 过滤器，可视化不会使用它们。
• Dashboard 过滤器下拉界面仅显示默认索引模式或同一仪表板中其他可视化所使用的索引模式的字段。

查看日志

以下是可用于查看日志的方法。

关联日志和追踪

如果您定期追踪跨应用程序的事件，您可以关联日志和追踪。要查看关联，您必须按照 OpenTelemetry 标准索引追踪，类似于追踪分析。一旦您将 TraceId 字段添加到日志中，您就可以在事件浏览器日志详细信息中查看关联的追踪信息。此方法关联对应于相同执行上下文的日志和追踪。以下演示展示了此功能的实际应用。

查看周边事件

如果您需要有关日志事件的更多信息，您可以选择 View surrounding events 以更全面地了解感兴趣时间点周围的上下文。以下演示展示了此功能的实际应用。

实时流式传输日志

如果您更喜欢实时监控，您可以设置一个时间间隔，使事件分析内容自动刷新。借助 Live Tail，您可以使用指定的 PPL 查询将日志直接流式传输到 OpenSearch Observability 事件分析中，同时利用过滤器等强大功能。这可以增强您的调试过程，并实现日志的无缝实时监控，而无需手动刷新内容。

通过 Live Tail，您可以选择时间间隔并在它们之间无缝切换，以控制实时日志流的频率。此功能类似于 tail -f CLI 命令，因为它只检索最新的实时日志，可能会消除大部分实时日志。Live Tail 会显示 OpenSearch 在实时流期间收到的实时日志总数，从而提供对入站流量模式的洞察。以下演示展示了此功能的实际应用。

相关文章

• 演示 OpenSearch Assistant 工具包
• OpenSearch Dashboards 中 OpenSearch Assistant 的入门指南
• 通过 REST API 配置 OpenSearch Assistant