00:00
接下来我们给大家讲解一下eql的基本使用,他说要运行eql搜索,那么搜索到的数据流或者索引呢?它必须包含时间戳和事件类型字段。这个咱们前面给大家介绍过,我们为了保证数据之间是有关联的,我们需要额外添加新的字段,对吧?那么这里就需要添加两个字段,一个叫time STEM,一个叫event.categorage啊,这两个字段我们是需要添加上的啊,那么我们的第一个就表示时间戳,我们的第二个就表示事件的分类啊,这个还是非常重要的啊,那么接下来我们就准备了一些简单的数据,用于表示电商网站的页面跳转。那好,我们首先第一个创建索引,我们拷贝,拷贝以后拿到我们的体班的当中来,我们点击它,我们创建一下,创建成功以后,我们接下来我们把我们的数据给他拿过来,我们这是一个批量的数据,我们直接拷贝啊,把这个咱们拷贝过来。宝贝过来以后,我们简单的介绍一下我们这里啊,其实就是我们所谓的电商网站的页面的跳转过程,比方说从首页跳转到商品的列表,从商品的列表跳转到商品的明细,再到我们的订单,再到我们的支付,有这么一个跳转的过程来,这是我们给大家准备的数据啊,好了,我们点击一下,点击完成以后,如果没有问题的话,我们的数据就完成了,那么我们在这里你就会发现我们额外的添加了event和这个叫categ GR,我们叫page,这个就是我们所谓的什么我们的事件的分类,我们叫页面跳转的,然后呢,这边还有一个时间戳,这都是我们额外添加的啊。
01:42
好,那么数据有了之后,咱们简单的来看一看,我们第一个给大家演示一下叫数据窗口搜索,说的简单点其实就是一些条件查询,我们下面呢就给大家举了一个例子,我们查询我们配置数据当中UID等于一的这么一个数据。大家可以看到我们这里加了一个any,这个any是什么意思?我们前面说过了,我们的事件是有分类的,但是我的any就意味着不用考虑分类,只要你的数据当中有配置有U的ID,它等于一就能被查询出来。那好了,我们来看一看,我们拷贝,拷贝之后我们拿过来,我们把这个数据全删掉,删掉以后我们直接点击它。
02:23
NG之后你会发现我们的数据就全都出来了,为什么全都出来了呢?因为我们an是不考虑我们的分类的,所以说它就不重要,我们的配置说的就是我们的它,然后U的ID就是我们的一,这就是我们用户ID为一的页面跳转过程,对吧?比方说我们从首页呀,跳转到我们的商品列表啊,商品明细呀,我们的订单呢,我们的支付呀,就有这么一个跳转的过程,所以这样的话就是一个我们的查询操作,是不是感觉还好理解呀?而且加了个where,是不是感觉好像跟我们的那个circle有点相似呀?哎,就是这样啊,好,咱们继续。
03:03
下面说把符合条件的事件给我查询出来,那么好,咱们这里拷贝一下,拷贝以后我们简单的分析一下来,咱们给它复制,复制以后我们叫做索引eql,它那个search叫查询,这个叫any,表述的是任意的分类,这个where处表示什么条件都是成立的,那么下面这个过滤就是个范围了,这个就是个时间戳,时间戳小于什么,大于等于什么,还有一个时间的概念,所以我们查询,查询以后我们只有一条数据满足它的要求,哎,这不就可以了吗?啊,所以啊,同学们,这是我们给大家举的一个小例子,对吧?对我们的数据做一些匹配查询,但是这个也没有感觉出来,我们的这个跟数据的关系有什么联系呀,你不说了吗?咱们之前的数据都是独立的,那么我们现在的eqr跟数据的关系它有联系呀,诶我们接着往下看,往下看就有一个叫事件的序列,什么意思呀,你把这个咱们拷贝一下。
04:06
拷贝以后我们来给大家介绍一下什么意思,它就表述的是我们当前的session ID要给它放在一块儿,什么意思啊,我们页面的访问是有session ID的,说白了,同一个用户的同一个用户在跳转过程当中,他先跳转了log in页面,然后它后面跳转了商品的明细页面。哎,这就是我们的一个跳转的规则,有先有后,哎就形成了一个序列,但是它要求是在同一个session ID当中,哎,就是这个意思,不过呢,这里加了一个限定条件,是我们的event page里面的,所以这个page说的就是我们的这啊,所以呢,我们现在找一下点,点击以后你会发现我就找到了这样的数据,为什么?因为我们的这一条数据它属于配置,而且它在这个地方的session ID跟下面的session ID是保持一致的,它就是先跳转的log in,然后在这个位置跳转到了商品的明细。
05:09
它的时间戳是不一样的,同学们能不能明白这样的话,如果发现了这样的用户的话,我们可以对这样的用户做一些特殊的处理,这不挺好吗?所以把不同数据的关系它就体现出来了,对不对?哎,所以这就是eql能帮助我们做到的事情。
我来说两句