作者:来自 ElasticNathan_Reese

2021 年,OpenSearch 和 OpenSearch Dashboards 开始作为 Elasticsearch 和 Kibana 的分支。 尽管 OpenSearch 和 OpenSearch Dashboards 具有相似的血统,但它们不提供相同的功能。 在分叉时,只能克隆开源许可的功能。 这给 OpenSearch 留下了一部分功能。 自分叉以来,这种功能差距已经扩大。 让我们探索如何只有 Elasticsearch 和 Kibana 才能提供最快的地图、缩短上市时间、提供更多见解并适应未来。 不要让 OpenSearch 的限制限制你。

使用矢量切片提供快速地图

地图提供了一种直观的方式来显示大量数据,从数万个点,到数以千计的复杂政治边界,再到数以万计的聚合分组 – 全部都在同一张地图上! 将所有这些数据传输到你的网络浏览器是一个耗时的过程。 幸运的是,Mapbox 在 2010 年代初通过引入矢量切片(vector tiles)解决了这个问题。

矢量图块通过以下方式为你的地图提供快速加载:

  1. 将请求分成更小的部分。 你的地图视口被分成更小的方形图块。 每个图块都作为自己的请求获取,从而并行数据加载。
  2. 向浏览器发送更少的数据。 复杂的几何图形被简化,以删除在请求的缩放级别上不可见的细节。 例如,政治边界可能沿着河流的轮廓。 虽然边界包含数千个顶点以准确地遵循河流的路径,但当该级别的细节不可见时,这些顶点将被删除。
  3. 使用节省空间的数据序列化。 数据通常以文本形式发送到你的浏览器。 例如,当坐标 -77.036379543 作为文本发送时,每个数字都作为单个字符发送。 矢量切片使用 Google 协议缓冲区并将数字编码为 16 位或 32 位浮点数,从而显着减少空间。

Elasticsearch 提供矢量切片搜索 API(vector tile search API),以二进制 Mapbox 矢量切片形式返回搜索结果。 与基于文本的 _search API 相比,加载速度快得惊人:

Kibana 中的矢量切片 (vector tiles):使地理分析变得平滑

你需要快速地图,并且只有 Elasticsearch 可以提供二进制 Mapbox 矢量切片形式的搜索结果。

使用 Elastic Maps Service 和 Kibana 地图缩短上市时间

Elastic 地图服务

参考地图为地理数据提供了重要的背景; 政治边界(如国家边界)、自然特征(如河流)以及人造特征(如道路)。 Elastic Maps Service 提供参考底图,为你在 Kibana 中的地理空间可视化提供支持。

在专用网络上运行 Elastic Stack? 没问题,我们为你服务。 只有 Elastic 地图服务可以托管在本地网络上。

Kibana 地图

立即将你的地理数据与 Kibana Maps 结合使用。 使用多个图层和索引在单个地图中显示所有数据。 绘制单个文档或使用聚合来绘制任何数据集,无论有多大。 使用时间滑块对时空数据进行动画处理。 自定义每个图层以突出显示有意义的维度。 跨层搜索以仅关注你想要的数据。 将自由文本搜索与基于字段的搜索相结合。 设置时间过滤器以按时间限制图层。 在地图上绘制多边形或使用要素的形状来创建空间过滤器。 过滤各个层以比较方面。 只有 Kibana 地图提供对 Elasicsearch 所有地理空间功能的实例访问。

此仪表板显示了别哈山火山喷发(umbre Vieja eruption)的影响。

通过 Geohex 网格和 Geo-line 聚合提供更多见解

聚合是一种重要的分析工具,用于将大量数据集分组并汇总为可使用的指标。

Geohex 网格聚合

聚合允许你将地理数据分组为几何区域,并比较和对比组间的指标。 六边形网格是一种流行的定义几何区域的机制,其中每个图块的面积在整个地球上大致相同,从而可以得到更相关的统计结果。 只有 Elasticsearch 提供直线和多边形的六边形空间分析。

该仪表板显示了纽约市教堂的分布。

地理线聚合

对于地理数据,每个数据点可以不仅仅是一个事件,每个数据点可以是一系列相关事件的一部分。 例如,单个 GPS 坐标提供车辆在某个时间点的位置,而一系列 GPS 坐标则显示车辆的路径。 只有 Elasticsearch 提供 Geo-line 聚合,允许你将点变成线,将单个事件的信息放大到更广阔的画面。

下图来自实时资产跟踪、可视化和警报教程,显示了波特兰市的公共交通巴士坐标。

通过读取模式适应未来

工作流程随着时间的推移而发展。 今天的关键内容可能会减弱相关性,而未使用的信息将成为明天决策的关键数据点。 读取模式使你的工作流程能够应对未来的挑战。

只有 Elasticsearch 提供带有运行时字段的读取模式。 运行时字段允许你创建在查询时评估的字段。 让我们通过一个示例来探索运行时字段。 Web 日志被引入 Elasticsearch。 Web 日志包含有关请求位置的地理空间信息,但该信息在写入时不会建立索引。 现在,我们需要运行地理空间搜索。 我们可以在查询中定义 geo_point 运行时字段并执行地理空间搜索,而无需重新索引网络日志。