本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 OpenSearch 仪表板中查询数据
设置表并配置所需的可选查询加速后,您现在可以开始对数据执行分析。要查询您的数据,请从 OpenSearch 仪表板的 “发现” 页面或 “可观察性” 页面的下拉菜单中选择数据源。
如果您使用跳过索引或尚未创建索引,则可以使用 SQL 或管道处理语言(PPL)来查询数据。如果您已配置实体化视图或覆盖索引,则您已有索引,并可在整个控制面板中使用控制面板查询语言(DQL)。您也可以将 PPL 与可观测性插件结合使用,将 SQL 与查询工作台插件结合使用。目前,只有可观测性和查询工作台插件支持 PPL 和 SQL。要使用 OpenSearch 服务 API 查询数据,请参阅异步 API 文档
SQL
使用以下查询对您在中创建的 VPC 流日志表运行示例 SQL 查询使用查询工作台创建 Spark 表:
SELECT srcaddr, SUM (CAST(bytes AS LONG)) as total_bytes FROMdatasourcename.gluedatabasename.vpclogstableGROUP BY srcaddrORDER BY total_bytes DESCLIMIT 10;
PPL
使用以下查询对您在中创建的 VPC 日志表运行 PPL 查询示例:使用查询工作台创建 Spark 表
source =datasourcename.gluedatabasename.vpclogstable| fields account_id, srcaddr, dstaddr, action | head 10
建议
在某些情况下,结果可能未按预期返回。如果您遇到任何问题,我们建议您采取以下措施:
-
SELECT* 语句不返回任何结果-请检查您的表以查看它是否有需要分解的嵌套 struc 列。 -
选择多个表时,使用
SQL UNION语句来引用多个表。 -
加速设置为使用特定数量的工作线程来执行查询。如果查询返回缓慢,则可以手动分配更多的工作线程来执行查询,以提高性能。
-
在构建跳过索引时,使用布隆过滤器来获得高基数,使用最小/最大值来表示大范围,以节省域上的空间。如果您需要执行精确匹配,建议您在中等基数字段上设置值。
-
有关常用 SQL 查询的更多信息,请参阅Amazon 服务日志。