《Learning ELK Stack》6 使用Kibana理解数据

6 使用Kibana理解数据


Kibana4的功能

搜索词高亮显示

image-20200626195705687

Elasticsearch聚合

  • Kibana4广泛使用Elasticsearch的聚合和子聚合为可视化提供多种聚合功能。主要包含两种类型的聚合
  1. 分桶(Bucketing):生成一系列的桶,每个桶都有一组文档,例如短语、范围、直方图等
  2. 度量:计算一组文档的度量指标,例如最小值 、最大值 、求和,平均值等。只能在数值类型的字段上进行这样的计算

衍生字段

  • 衍生字段(Scripted fields)用于索引数据的动态计算

例如,某字段需要在显示之前乘以100,就可以将它存储为衍生字段,但衍生字段不能被搜索

动态仪表盘

  • 仪表盘非常灵活,并且是动态的。可以方便地用其将各个可视化组件根据需要拖拽排列,并且数据也可以自动刷新

Kibana界面

  • 包含4个主要的标签
  1. 搜索:可自由搜索,或基于字段、范围等搜索
  2. 可视化:创建许多类型的可视化,如饼图、柱状图、折线图等,并且可以保存起来,随后在仪表盘中使用
  3. 仪表盘:多种可视化和搜索的集合,可以很简单地应用于基于点击交互的过滤器,也能基于多种数据汇总获得结论
  4. 设置:配置索引模式、衍生 字段、字段的数据类型等

搜索页面

  • 适用于对索引数据进行交互式搜索查询。可以做基于字段的特定搜索、过滤数据、也可以查看索引好的文档

image-20200626200133671

  • 左侧:所有的索引模式
  • 顶部:时间过滤器和搜索框
  • 页面头部:基于@timestamp字段的默认直方图;对应搜索结果的命中数
  • 搜索结果:按时间倒序显示最新的500个文档

时间过滤器

快捷时间过滤器

image-20200626200322622

相对时间过滤器

image-20200626200347008

绝对时间过滤器

image-20200626200359386

自动刷新设置

image-20200626200415853

区域触发时间过滤器

image-20200626200441030

查询和检索数据

  • Kibana使用Lucene查询语法来搜索索引数据。你也可以在Elasticsearch中使用Elasticsearch Query DSL

自由文本搜索

  • 从所有文档的所有字段中查找搜索词

搜索语法:lucene.apache.org/core/8_5_2/query...

AND

“Learning” AND “ELK”:搜索同时包含这两个单词的文档

OR

“Logstash” OR “ELK”:包含Logstash或包含ELK的所有文档

NOT

“Logstash” NOT “ELK”:包含Logstash但不包含ELK的所有文档

分组

(“Logstash” OR “ELK” AND “Kibana”):包含Kibana并且包含ELK或者Logstash的所有文档

通配符搜索

plan*:将搜索所有形如plans、plant、planting等的文档

plan?:匹配plant、plans等文档

?和:?和不能用作搜索条件的首字母

字段搜索

  • 目的是搜索索引文档中特定值 或特定范围的字段,这些字段都显示在搜索页面的左侧;以冒号连接字段和值

<字段名>:<字段值>

title : “Learning ELK”

title : “Learning ELK” AND category : “technology”

范围搜索

  • 一般用于查询某个字段的取值范围,如搜索特定的日期范围

date_of_record : [20200101 TO 20200606]

  • 查询volume字段的取值在10000~20000之间的所有文档

volume : [10000 TO 20000]

  • 范围搜索和字段搜索可以与布尔符合组合使用,如

publish_date : [20200101 TO 20200606] AND title : “Learning ELK”

特殊字符转义

  • 以下是特殊字符列表,如果需要在查询中使用这些特殊字符,则要使用\符号进行转义

+ - && || ! ( ) { } [ ] ^ “ ~ * ? : \

保存搜索

  • 使用搜索页面上的”save search“选项可以把搜索保存起来并用于后面的可视化。已保存的搜索可以添加到仪表盘中

打开已保存搜索

  • 搜索页面工具栏上的”Load Saved Search“选项可以打开之前已保存的搜索

image-20200626202558538

借助字段列表来搜索字段

  • 可通过点击字段特定取值上的“正”或“负”过滤按钮来进行字段查询

image-20200626202640703

  • 也可点击左侧字段列表上字段名称旁的add按钮让右侧面板显示指定的字段。这样可以根据fdvd右边的结果表中显示字段的值

image-20200626202728771

  • 通过这种方式快速添加字段,也可以根据特定字段分类文档,还可以按照做生意顺序排列字段。对于建立快速搜索的表格非常有帮助
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!