28.1 Kibana简介
- Kibana是一个开源的分析和可视化平台,设计用于和Elasticsearch一起工作。
- Kibana可以用来搜索,查看,并和存储在Elasticsearch索引中的数据进行交互。
- 可以轻松地执行高级数据分析,并且以各种图标、表格和地图的形式可视化数据。
- Kibana使得理解大量数据变得很容易。它简单的、基于浏览器的界面使你能够快速创建和共享动态仪表板,实时显示Elasticsearch查询的变化。
28.2 访问Kibana
- Kibana是一个Web应用程序,你可以通过5601来访问它。例如:localhost:5601 或 者 http://YOURDOMAIN.com:5601
-
当访问Kibana时,默认情况下,Discover页面加载时选择了默认索引模式。时间过滤器设置为最近15分钟,搜索查询设置为match-all(*)
28.3 用Elasticsearch连接到Kibana
- 默认情况下,Kibana连接允许在localhost上的Elasticsearch实例。为了连接到一个不同的Elasticsearch实例,修改kibana.yml中Elasticsearch的URL,然后重启Kibana。
- 为了配置你想要用Kibana访问的Elasticsearch索引:
- 访问Kibana UI。例如,localhost:56011 或者 http://YOURDOMAIN.com:5601
- 指定一个索引模式来匹配一个或多个你的Elasticsearch索引。当你指定了你的索引模式以后,任何匹配到的索引都将被展示出来。
- 点击“Next Step”以选择你想要用来执行基于时间比较的包含timestamp字段的索引。如果索引没有基于时间的数据,那么选择“I don’t want to use the Time Filter”选项。
- 点击“Create index pattern”按钮来添加索引模式。第一个索引模式自动配置为默认的索引默认,以后当有多个索引模式的时候,就可以选择将哪一个设为默认。
28.4 Lucene查询语法
- Kibana查询语言基于Lucene查询语法。
- 为了执行一个文本搜索,可以简单的输入一个文本字符串。例如,如果想搜索web服务器的日志,可以输入关键字"safari",这样就可以搜索到所有有关"safari"的字段
- 为了搜索一个特定字段的特定值,可以用字段的名称作为前缀。例如,输入"status:200",将会找到所有status字段的值是200的文档
- 为了搜索一个范围值,可以用括号范围语法,[START_VALUE TO END_VALUE]。例如,为了找到状态码是4xx的文档,可以输入status:[400 TO 499]
- 为了指定更改复杂的查询条件,可以用布尔操作符 AND , OR , 和 NOT。例如,为了找到状态码是4xx并且extension字段是php或者html的文档,可以输入status:[400 TO 499] AND (extension:php OR extension:html)
-
查询界面
28.5 Kibana查询(KQL)语法
- response:200 将匹配response字段的值是200的文档。
- 用引号引起来的一段字符串叫短语搜索。
- 例如,message:"Quick brown fox" 将在message字段中搜索"quick brown fox"这个短语。
- 如果没有引号,将会匹配到包含这些词的所有文档,而不管它们的顺序如何。
- 这就意味着,会匹配到"Quick brown fox",而不会匹配"quick fox brown"。(引号引起来作为一个整体)
- 查询解析器将不再基于空格进行分割。
- 多个搜索项必须由明确的布尔运算符分隔。注意,布尔运算符不区分大小写。
- 在Lucene中,response:200 extension:php 等价于 response:200 and extension:php。
- 这将匹配response字段值匹配200并且extenion字段值匹配php的文档。
- 如果把中间换成or,那么response:200 or extension:php将匹配response字段匹配200 或者 extension字段匹配php的文档。
- 默认情况下,and 比 or 具有更高优先级。
- response:200 and extension:php or extension:css 将匹配response是200并且extension是php,或者匹配extension是css而response任意
- 括号可以改变这种优先级
- response:200 and (extension:php or extension:css) 将匹配response是200并且extension是php或者css的文档
- 还有一种简写的方式:
- response:(200 or 404) 将匹配response字段是200或404的文档。字符值也可以是多个,比如:tags:(success and info and security)
- 还可以用not
- not response:200 将匹配response不是200的文档
- response:200 and not (extension:php or extension:css) 将匹配response是200并且extension不是php也不是css的文档
- 范围检索和Lucene有一点点不同
- 代替 byte:>1000,我们用byte > 1000
- 有效的操作符>, >=, <, <= 都是
- response:* 将匹配所有存在response字段的文档
- 通配符查询也是可以的。
- machine.os:win* 将匹配machine.os字段以win开头的文档,像"windows 7"和"windows 10"这样的值都会被匹配到。
- 通配符也允许我们一次搜索多个字段,例如,假设我们有machine.os和
machine.os.keyword两个字段,我们想要搜索这两个字段都有"windows 10",那么我们可以这样写"machine.os*:windows 10"
大数据视频推荐:
腾讯课堂
CSDN
ELK入门精讲
AIOps智能运维实战
ELK7 stack开发运维
大数据语音推荐:
ELK7 stack开发运维
企业级大数据技术应用
大数据机器学习案例之推荐系统
自然语言处理
大数据基础
人工智能:深度学习入门到精通
网友评论