Elasticsearch:构建地图以按国家或地区比较指标

2022年12月1日   |   by mebius

标如果你不熟悉 Elastic 地图,本教程是一个不错的起点。 它会指导你完成处理位置数据的常见步骤。在完成本教程后,你将学会:

  • 创建具有多个图层和数据源的地图
  • 使用符号、颜色和标签来设置数据值的样式
  • 在仪表板中嵌入地图
  • 在仪表板中跨仪表盘搜索

完成本教程后,你将拥有一个如下所示的地图:

%title插图%num

在本教程的演示中,我将tgcode使用 Elastic Stac 8.5.2 来进行展示。

准备数据

我将使用 Kibana 自带的索引例子来进行展示。我们按照如下的步骤来摄入数据:

%title插图%num

%title插图%num

%title插图%num

%title插图%num

上面的操作将在 Elasticsearch 中创建一个叫做kibana_sample_data_logs 的索引。这个索引的数据是关于网页请求的数据。它含有请求点的地理位置信息。

创建地图可视化

我们按照如下的方法来创建可视化:

%title插图%num

%title插图%num

%title插图%num

第一个图层 -添加等值线层

你将添加的第一层是等值线层,用于按网络日志流量对世界国家/地区进行着色。 深色代表网络日志流量较多的国家,浅色代表流量较少的国家。

%title插图%num%title插图%num

%title插图%num

%title插图%num

%title插图%num

%title插图%num

这样我们就完成了第一个图层的设计。当我们点击上面图的任何部分,我们可以看到:

%title插图%num

上面显示的 ISO 3166-1 alpha-2 codtgcodee 为 US。它含有 127 个文档。这个依赖于当前时间选择的范围。深色区域显示是请求比较多的地方,而浅色的地方则表示请求比较少的地方。它展示的是每个国家的请求的多少分布。

第二个图层 -为单个文档添加一个图层

为避免用户一次被太多数据淹没,你将为 Elasticsearch 数据添加两层。 当用户放大地图时,第一层将显示单个文档。我们安装如下的步骤来创建。点击上图中 Add layer:

%title插图%num

%title插图%num

%title插图%num

%title插图%num

如上所示,这个图层只有在地图的放大倍数为 9-24 时它才可以得到显示。在其他的 0-9 的放大倍数时,这个图层是不可见的。点击上面的 Save & close:

%title插图%num

当我们把放大倍数置为超过 9 以后,我们可以看到上面的文档在地图上。否则,我们是看不到这些地图数据的。你可以调整时间范围来显示文档,如果你的地图上还没有数据的话。

第三个图层 -为聚合数据添加一个层

你将为聚合数据创建一个图层,并使其仅在地图缩小时可见。 较深的颜色将象征具有更多网络日志流量的网格,而较浅的颜色将象征具有较少流量的网格。 较大的圆圈表示传输的总字节数较多的网格,较小的圆圈表示传输的字节数较少的网格。我们按照如下的步骤来进行,点击上面的 Add layer:

%title插图%num

%title插图%num

%title插图%num

%title插图%num

%title插图%num

%title插图%num

当我们把 zoom 值调整到 0-9 的范围时,那么我们可以看到上面的图。颜色越深,则代表请求的越多。

这样我们就完成了地图的可视化。它有如上的三个图层组成。在实际的操作中,我们甚至可以调整整个图层的位置。比如,我们可以拖动下面的图标:

%title插图%num

在我们的练习中,我们不需要改变这个上下层的关系,所以我们可以不做。点击上面的 Save & return 按钮:

%title插图%num

%title插图%num

这样就完成了我们的地图可视化图。

使用仪表盘来探索数据

查看吗的地理空间数据以及热图和饼图,然后筛选数据。 当你在一个面板中应用筛选器时,它会应用于仪表板上的所有面板。我们按照如下的步骤来完成:

%title插图%num

%title插图%num

%title插图%num

%title插图%num

这样,我们就看到如下的一个仪表盘:

%title插图%num

任务一:找出来 bytes 值为高的分布在哪里?

我们使用鼠标按照如下的tgcode方法来进行选择:

%title插图%num

%title插图%num

我们可以看到请求的位置发生在哪些地方。我们点击上图中的 x 符号来取消这个过滤器。

任务二:在地图上设置过滤器

我们在地图上点击一下:

%title插图%num

点击上面的符号:

%title插图%num

如上图所示,它仅显示了美国的索引数据,而其它国家的数据不见了。在上面它生成了一个过滤器。

我们可以把地图放大直到放大倍数超过 9:

%title插图%num

我们可以看到当放大倍数超过 9 以后,另外一个图层出现,而之前的那个 cluster 的图层就不见了。

文章来源于互联网:Elasticsearch:构建地图以按国家或地区比较指标

相关推荐: Elastic 在 SIEM 市场继续获得动力

作者:Mike Nichols,Mike Paquette Elastic 仅在市场上推出了两年就成功交付了领先的安全信息和事件管理 (SIEM) 产品。 根据 IDC 2021 年全球安全信息和事件管理市场份额:Cardinal SIEM 报告,Elasti…

Tags: