====== query======
[[elk_stack:elk_stack|{{ :elk_stack:icon.jpg?120|}}]]

===== context=====
dit document beschrijft hoe je met queries werkt in ELK stack. \\ 
Deze zijn de basis voor verdere verwerking van je logdate: 
  * queries -> visualisaties: geven je queries weer in visueel aantrekkelijk formaat
  * visualisties -> dashboards: geven je visualisaties weer in dashboard waarbij je in 1 oogopslag je data ziet

===== query maken =====
  - **Discover**: Search
  - **(change)**: selecteer de index die je wilt gebruiken (filebeat, metricbeat, ...)\\ nu worden alle pages weergegeven binnen die index. Nu kan je best wat **filteren**
  - **(Search)**(1):typ het veld in waarop je wilt zoeken:
    - log.file.path: logbestand
    - event.dataset.key: soort dataset 
  - om je zoekactie te **verfijnen**, combineer je velden ahv **AND** en **OR**
  - druk op het **kalender**(2) icoontje om je zoekactie in tijd te beperken (dag, week, maand, afgelopen ... uren, ...)
  - het **zoekresultaat** wordt weegegeven in een staafdiagram (3) met het aantal gevonden pages/tijdstip:{{:elk_stack:elkstackquery.png?|}} \\ nu kan je de gevonden documenten verder filteren:
    - klik in **available fields** op het veldje dat je wilt zien
      - staafdiagram geeft resultaten aflopend weer, met vermelding van:
        - aantal documenten (muis-over)
        - percent van totaal aantal resulaten
        - mogelijkheid resulten in filter op te nemen/uit te sluiten (**+** en **-** teken){{:elk_stack:elkstackquery2.png?|}}
    - bovenstaand voorbeeld:
      - toont top5 van processen die werden gevonden in 223 zoekresultaten.
      - wil ik enkel de java processen zien, dan klik ik op **+**-teken naast **java**

===== query bewaren =====
vaak wil je de gevonden resultaten verder verwerken ivv [[elk_stack:visualizations|visualizations]] of [[elk_stack:dashboards|elk_stack:dashboards]]. Doe dit als volgt:
  - klik in het menu op **Save**
  - geef een betekenisvolle __naam__ op. Gezien je die queries later verwerkt in je dashboard/visualizaties, kies je best een naam die duidelijk zegt wat de query doet. 
  - vink aan: **include filters**
  - **Save** \\ Nu is deze query een **source** die je als dusdanig bij [[elk_stack:visualizations|visualizations]] verder kunt gebruiken. 


===== meer info =====
voeg hier linken toe naar verdere uitleg
{{tag>elk_stack}}