作者:来自 Elastic drewdaemon
ES|QL 很重要 💪
正如你可能已经听说的那样,ES|QL 是 Elastic 的新查询语言。我们对 ES|QL 寄予厚望。它已经很出色了,但随着时间的推移,它将成为与 Elasticsearch 中的数据交互的最强大和最具表现力的方式。
这并不意味着我们的用户将始终编写 ES|QL。有时他们会使用 Kibana 中的 GUI 和/或我们的 AI 功能。但是,在底层,这些界面(最终)将归结为生成和执行 ES|QL 查询。
但是,ES|QL 的一大优点是你可以自己编写。它是一种可学习的语言。你可以编写自己的查询来执行从简单调查到利用 Elastic 平台最先进功能的复杂任务的所有操作。
要了解有关语言本身的更多信息,请访问我们的文档!
欢迎来到编辑器 ✨
ES|QL 编辑器是我们为简化你编写查询的工作而做出的谦逊尝试。它旨在陪伴你从初次试验 ES|QL 到真正掌握这门语言的整个过程。
话不多说,以下是我最喜欢的一些功能。
花哨的功能
首先,语法高亮看起来不是很棒吗?在 Elastic 的其他产品中,你找不到类似的颜色主题。
说到美观,编辑器还提供了一个按钮,可以美化你的查询。一键点击,瞬间焕然一新!💅
但这可能不是你要找的查询。你可以随时选择我们推荐的查询之一来开始:
此推荐查询会创建日期直方图,这是 Kibana 中最受欢迎的操作之一。
但是,那些看起来很奇怪的参数 ?t_start 和 ?t_end 是什么?将鼠标悬停在它们上面,我得到了答案:
它们代表 Kibana 日期选择器中的值!这意味着每当 Kibana 时间范围发生变化时,此查询都会动态调整。例如,如果我使用 ES|QL 查询来支持仪表板上的可视化,这将非常有用。
但是,好吧,也许你想完全自定义。太好了!在这种情况下,输入 FROM 并选择索引或集成数据集。
这是一个例子:对于来自系统集成的每个安全日志,让我们计算日志和 11 月底之间的天数:
请注意
- 我能够选择集成名称,然后选择我想要的数据集。在我的环境中,数据很少,但在生产集群中,这是一个非常有用的组织设备。
- 当我需要以 ISO 格式输入日期时,我并没有被困住。相反,我从日期选择器小部件中选择了日期。
验证
我们都会犯错。但是,如果我告诉你,我们在浏览器中运行了一个完整的语言验证引擎来帮助你发现错误,你会怎么想?
看!它会指出语法错误(例如多余的逗号):
...以及语义错误(例如错误的参数类型):
最后总结
哇哦!我们已经走了很长一段路,但这仅仅是开始。随着我们不断加大对 ES|QL 的投入,我们也会持续改进编辑器,直到它成为让你感觉像 ES|QL 天才的得力工具。因为……你本来就是 👏
原文:Dec 24th, 2024: [EN] Introduction to the ES|QL editor - Advent Calendar - Discuss the Elastic Stack
