Kibana：ES|QL 编辑器简介

作者：来自 Elastic drewdaemon

ES|QL 很重要 💪

正如你可能已经听说的那样，ES|QL 是 Elastic 的新查询语言。我们对 ES|QL 寄予厚望。它已经很出色了，但随着时间的推移，它将成为与 Elasticsearch 中的数据交互的最强大和最具表现力的方式。

这并不意味着我们的用户将始终编写 ES|QL。有时他们会使用 Kibana 中的 GUI 和/或我们的 AI 功能。但是，在底层，这些界面（最终）将归结为生成和执行 ES|QL 查询。

但是，ES|QL 的一大优点是你可以自己编写。它是一种可学习的语言。你可以编写自己的查询来执行从简单调查到利用 Elastic 平台最先进功能的复杂任务的所有操作。

要了解有关语言本身的更多信息，请访问我们的文档！

欢迎来到编辑器 ✨

ES|QL 编辑器是我们为简化你编写查询的工作而做出的谦逊尝试。它旨在陪伴你从初次试验 ES|QL 到真正掌握这门语言的整个过程。

话不多说，以下是我最喜欢的一些功能。

花哨的功能

首先，语法高亮看起来不是很棒吗？在 Elastic 的其他产品中，你找不到类似的颜色主题。

说到美观，编辑器还提供了一个按钮，可以美化你的查询。一键点击，瞬间焕然一新！💅

但这可能不是你要找的查询。你可以随时选择我们推荐的查询之一来开始：

此推荐查询会创建日期直方图，这是 Kibana 中最受欢迎的操作之一。

但是，那些看起来很奇怪的参数 ?t_start 和 ?t_end 是什么？将鼠标悬停在它们上面，我得到了答案：

它们代表 Kibana 日期选择器中的值！这意味着每当 Kibana 时间范围发生变化时，此查询都会动态调整。例如，如果我使用 ES|QL 查询来支持仪表板上的可视化，这将非常有用。

但是，好吧，也许你想完全自定义。太好了！在这种情况下，输入 FROM 并选择索引或集成数据集。

这是一个例子：对于来自系统集成的每个安全日志，让我们计算日志和 11 月底之间的天数：

请注意

• 我能够选择集成名称，然后选择我想要的数据集。在我的环境中，数据很少，但在生产集群中，这是一个非常有用的组织设备。
• 当我需要以 ISO 格式输入日期时，我并没有被困住。相反，我从日期选择器小部件中选择了日期。

验证

我们都会犯错。但是，如果我告诉你，我们在浏览器中运行了一个完整的语言验证引擎来帮助你发现错误，你会怎么想？

看！它会指出语法错误（例如多余的逗号）：

...以及语义错误（例如错误的参数类型）：

最后总结

哇哦！我们已经走了很长一段路，但这仅仅是开始。随着我们不断加大对 ES|QL 的投入，我们也会持续改进编辑器，直到它成为让你感觉像 ES|QL 天才的得力工具。因为……你本来就是 👏

原文：Dec 24th, 2024: [EN] Introduction to the ES|QL editor - Advent Calendar - Discuss the Elastic Stack