Skip to main content
Version: 2.13.0

术语表

A


alert (告警)

告警是平台监控系统的响应组件,它根据查询结果的变化执行操作。告警允许您定义对主动管理有意义的场景,同时依靠软件的被动监控来观察不断变化的情况。

app (应用)

应用是平台提供的一种实现不同场景的方式,让用户将创作的仪表板、告警等资源有序地组织起来,打造完整的解决方案。

(data) archive (数据归档)

将符合归档条件(例如数据集大小,数据历史时间)的数据存储到特定的存储介质。

B


base search (基础查询)

基础查询是仪表板中提供的一种可配置的查询,仪表板中的图表查询可以基于基础查询的结果作进一步的分析,从而节省查询资源。

built-in field(内置字段)

每一条存储于平台的事件,都包含着有如下字段名的内置字段:_time, _message, _datatype, _source, _host

built-in datatype (内置数据源类型)

内置数据类型是安装平台之后,平台直接提供给用户开箱即用的数据源类型,例如:json, csv, apache.access_log, nginx.access_log等。

C


chart (图表)

各种样式的可视化效果,每种图表类型都提供了一系列可配置的选项。平台提供内置十多种开箱即用的图表类型。

CTE(common table expression) (公共表表达式)

CTE是一个命名的、临时的结果数据集。CTE不作为存储对象,仅在查询执行期间持续,它提供了一种方式来书写在一个大型查询中使用的辅助语句。

D


dashboard (仪表板)

仪表板是不同的图表组件(Widget)和输入组件(Input)的集合,它们一起工作从多个角度以可视化的方式告诉用户与数据分析有关的结果和情况。

datatype (数据源类型)

数据源类型用于对具有统一类型属性的数据进行集合处理。平台中的数据源类型包含一系列的属性,定义了对数据的各类解析处理规则,例如数据索引阶段的抽取模式、查询阶段的抽取模式、字段分隔符等。平台内置了多种开箱即用的数据源类型,包含nginx access log, apache access log, syslog等。数据源类型对应字段_datatype,是一个字符串,用来标记事件原始数据的格式等元信息。

description (描述)

一段文本,用来解释系统内的某一个资源对象,或者描述其用处。例如,告警的描述,仪表板的描述等。

drilldown (钻取)

钻取是仪表板的一种配置工具,用于配置对用户单击仪表板图形或表格中可视化的响应。您可以对仪表板中的每个图表组件(widget)单独进行钻取配置。根据可视化类型,您还可以启用可视化中特定元素的钻取,如表格行或单元格。

E


event (事件)

事件是指一条带有时间戳的包含了结构化,半结构化或者非结构化的文本数据的记录。它是平台存储数据的时候的逻辑抽象实体。

event set (数据集)

数据集是一个一组事件的集合,用来存储事件的容器。每一个查询,都需要描述清楚从哪个数据集开始进行查询。导入数据的时候,都需要明确的指出事件存储在哪个数据集中。

F


favorite search (收藏查询)

用户可在查询页面将需要频繁使用的查询语句保存为收藏查询,方便快速调用。收藏查询有其所对应的用户和应用范围。

field (字段)

在平台当中,字段是事件中的特定信息。一个事件可以包含很多个字段,每个字段由字段名(Field Name)和字段值(Field Value)两部分组成。因此,事件是由多个字段共同构成的。字段的值是有类型区分的,包括字符串,整数,浮点数,布尔类型和时间戳类型等。

field extraction (字段抽取)

对数据进行加工,从原始数据当中提取有用的信息,生成新字段。平台在数据导入阶段和查询阶段均支持字段抽取。

H


HEI (Http Event Ingestion) (http数据采集)

HEI全称是http event ingestion,是通过http request的方式将event(事件)导入到数据集的一种方式。HEI为其他系统对接本平台提供了REST接口,也为注入自定义数据提供了程序化方法。

host (主机)

_host是平台中事件的内置字段,是一个字符串类型的字段,用来标记生成event的机器信息,也属于event的元信息字段。例如,某个event从某个终端机器采集得到,那么该字段就是这个采集event的程序所在机器的机器名或者机器ID。

I


index (索引)

平台在存储事件的时候,会针对事件的内容做倒排索引,同时,也会针对时间的时间戳做特定的索引,索引的功能只是用于加速查询,并不会用于保存原始数据。

indexer (索引器)

索引器负责将数据导入到平台,同时响应searcher(搜索器)对数据的请求

ingestion time field (索引字段)

数据索引阶段抽取的字段,平台支持的索引阶段字段抽取模式包括csv,json和none(默认值)。

ingestion time field extraction (索引时字段抽取)

数据索引阶段对字段进行抽取,平台会对抽取出的字段做索引,加快查询。

(token) input (输入组件)

仪表板中的一种输入组件,提供不同的输入方式,来方便用户根据不同的情况来组织和过滤查询,包含文本输入、选择器输入、时间类型输入等类型。

L


lookup table (查找表)

查找表由数据和字段映射规则构成。其数据为一张二维数据表,由若干列组成;映射规则用于指定查找表的索引字段名称。

M


materialized view / mat view (物化视图)

物化视图是一种特殊的物理表,“物化”(Materialized)了查询的结果。和普通视图仅保存SQL定义不同,物化视图会存储SQL预计算结果数据集。

message (事件信息)

_message是平台中事件的内置字段,一个字符串类型的字段,它存储着event的原始的信息。通常,一条日志(log)的内容就会被存储到该字段当中。

N

name (名称)

名称是一个字符串,用来命名一个系统内的资源对象。在同一类对象中,资源名是不能重复的。 例如,数据集名。

P


pull (拉取)

数据获取的方式,平台主动去数据源拉取配置的数据。

push (推送)

数据获取的方式,外部通过对应的接口直接将数据推送到平台。

S


saved search (预存查询)

预存查询可保存用户定义的查询语句和时间范围,还可以选择将查询的结果集缓存;后台服务可按照定时执行或者手动执行的模式来触发所存的查询并刷新缓存的结果集。

scalar function(标量函数)

标量函数用于对传递给它的字段或者常量参数值进行处理和计算,生成并返回生成一个新的字段。

scheduled report (定时报表)

在创建仪表板之后,可以给仪表板设置定时报表,每当到达计划的时间点,会提交仪表板中的所有查询到查询引擎,当所有查询完成之后,会将仪表板的内容(PDF格式)通过邮件发送给收件人。

schema on read (读时建模)

读时建模是一种在读取数据的时候,根据特定规则把数据的信息动态提取的技术,使用该技术分析数据的时候,数据的模式 (Schema)只有在进行数据分析运算的时候,才根据算法的逻辑和输入的数据来动态决定的,在存储数据的时候,不需要指明数据对应的 Schema。 由于在接收数据的时候并不需要指明数据的 Schema,系统会把数据按照原始收到的内容进行存储,最大限度的保证了数据的完整性。同时保证,能够灵活的低成本,快速地的接收非结构化、半结构化和结构化的数据。

search command (查询命令)

同步阻塞执行的一个查询命令,会等待查询结束后一次性返回所有结果

search time extraction (查询时字段抽取)

数据查询阶段抽取的字段。

search job (查询任务)

用户每运行一次SQL查询,都会在平台中创建一个查询任务,包含ID、查询语句、状态等信息。用户可以在“查询任务”页面查看选定查询任务的详细信息。

search pipeline (字段抽取规则)

字段抽取规则提供了查询时抽取额外字段的功能。

searcher (搜索器)

负责接收请求,解析查询语句,并执行查询,查询执行过程中会和indexer(索引器)通信以获取数据。

slice (数据分片)

数据进到系统是按时间分片存储,热数据分片(hot slice)存储在内存,温数据分片(warm slice)存储在磁盘并带索引,冷数据分片(frozen slice)存储在磁盘但是没有索引。

T


table engine (表引擎)

表引擎也称为表类型,它决定了数据的存储地点和存储方式,系统会按照不同的表引擎的对应方式以读取和写入数据到数据表。

table function (表函数)

表函数针对每个输入行返回一个数据行的集合,即一个二维表。 返回的数据集合可能为空,可能包含一行或者多行数据,每行数据包含一个或者多个列。

timeline (时间轴)

在搜索界面时间轴会显示结果在时间范围内的分布。

timestamp (时间戳)

时间戳对应内置字段_time。具体一个事件的时间戳是什么,是在数据注入的时候由业务逻辑来决定的,在数据导入的时候要确保时间戳的抽取规则符合分析需求。对于平台而言,时间戳就是一个整数,代表着从Unix Epoch开始的微秒数。平台内置了多种时间戳的抽取规则

title (标题)

标题用于在UI上描述和标记一个系统内的资源对象。标题只用于 UI 显示,帮助用户标记和备注不同的资源对象。系统并不会使用标题来作为资源的唯一标识,所以,标题是可以重复的。 标题和名称的区别在于,系统会检查资源名称的唯一性,但是对标题系统不做任何检查,只用于 UI 显示。

token (标记)

仪表板中的输入组件中的参数,配置后可在整个仪表板的上下文中使用。

U


UDTF (自定义表函数)

UDTF:User-Defined Table Function。平台支持用户用python来开发自定义表函数,扩展函数能力,满足个性化的业务需求。

UUID (标识符)

一个字符串,在系统内是唯一的。通常用来标记某个资源对象。例如,告警标识符是告警的唯一ID。如果一个资源有资源名称,那么其对应的 UUID 是根据资源名称自动生成的,所以,同样名字的资源,其 UUID 也是相同的。

V


view (视图)

视图(View)是由SQL语句组成的查询定义的虚拟表,是一个逻辑上抽象的虚拟表,用来组织一组数据,复用查询逻辑。

W


window function (窗口函数)

窗口函数可以对数据进行分组计算,与GROUP BY不同的是, 窗口函数可以为每组数据返回多个值。

widget (图表组件)

仪表板中的可视化组件,支持各种类型的可视化效果及其管理。