kibana的访问端口是9201
所有本地的文本日志上传到elasticSearch之后,都存在于字段message中,默认type都是doc,index在本地filebeat中通过tag配置为服务名称,举个查询的例子
比如在test-kafka服务下查找2月22号bld-0005主机上包含"789"内容的日志(实际环境中test-kafka可为服务名称,"789"可为ERROR)
如上图所示,先选中discover侧边栏。左侧的test-kafka-*是对索引模板,因为我们的索引都是按照年-月这种格式建立的,所以这样可以匹配到该服务下的全部日志,如果是*就可以匹配所有服务包括logstash的日志,.*建立的时候添加了kafka和es的系统日志,比如时间,健康性之类的,所以可以查询到系统日志
在索引匹配的上边是filter,可以对field进行筛选,但这里只能进行等于,不等于,是否在数组中,是否存在这四种操作,所以关于789的模糊匹配我们放在上边查找,这里会对整个json字符串进行匹配,关于时间范围的筛选在右上角进行,但必须在建立索引模板时选择一个时间过滤字段,否则
还有一种查询方法是直接调用api进行查询,通过侧边栏DevTools进入
上边的路径是{index}/{type}/_search的格式,之后下边就是条件了,多字段联合查询要用bool关键字,must相当于是对数组内做&&操作,wildcard可进行模糊查询,match会对单词进行匹配,filter用于过滤时间,点击灰框内右上方开始按钮查询,右侧的数据会返回json格式
网友评论