《Learning ELK Stack》6 使用Kibana理解数据
6 使用Kibana
理解数据
Kibana4
的功能
搜索词高亮显示
Elasticsearch
聚合
Kibana4
广泛使用Elasticsearch
的聚合和子聚合为可视化提供多种聚合功能。主要包含两种类型的聚合
- 分桶(
Bucketing
):生成一系列的桶,每个桶都有一组文档,例如短语、范围、直方图等 - 度量:计算一组文档的度量指标,例如最小值 、最大值 、求和,平均值等。只能在数值类型的字段上进行这样的计算
衍生字段
- 衍生字段(
Scripted fields
)用于索引数据的动态计算
例如,某字段需要在显示之前乘以100,就可以将它存储为衍生字段,但衍生字段不能被搜索
动态仪表盘
- 仪表盘非常灵活,并且是动态的。可以方便地用其将各个可视化组件根据需要拖拽排列,并且数据也可以自动刷新
Kibana
界面
- 包含4个主要的标签
- 搜索:可自由搜索,或基于字段、范围等搜索
- 可视化:创建许多类型的可视化,如饼图、柱状图、折线图等,并且可以保存起来,随后在仪表盘中使用
- 仪表盘:多种可视化和搜索的集合,可以很简单地应用于基于点击交互的过滤器,也能基于多种数据汇总获得结论
- 设置:配置索引模式、衍生 字段、字段的数据类型等
搜索页面
- 适用于对索引数据进行交互式搜索查询。可以做基于字段的特定搜索、过滤数据、也可以查看索引好的文档
- 左侧:所有的索引模式
- 顶部:时间过滤器和搜索框
- 页面头部:基于
@timestamp
字段的默认直方图;对应搜索结果的命中数 - 搜索结果:按时间倒序显示最新的500个文档
时间过滤器
快捷时间过滤器
相对时间过滤器
绝对时间过滤器
自动刷新设置
区域触发时间过滤器
查询和检索数据
Kibana
使用Lucene
查询语法来搜索索引数据。你也可以在Elasticsearch
中使用Elasticsearch Query DSL
自由文本搜索
- 从所有文档的所有字段中查找搜索词
AND
“Learning” AND “ELK”:搜索同时包含这两个单词的文档
OR
“Logstash” OR “ELK”:包含Logstash或包含ELK的所有文档
NOT
“Logstash” NOT “ELK”:包含Logstash但不包含ELK的所有文档
分组
(“Logstash” OR “ELK” AND “Kibana”):包含Kibana并且包含ELK或者Logstash的所有文档
通配符搜索
plan*:将搜索所有形如plans、plant、planting等的文档
plan?:匹配plant、plans等文档
?和:?和不能用作搜索条件的首字母
字段搜索
- 目的是搜索索引文档中特定值 或特定范围的字段,这些字段都显示在搜索页面的左侧;以冒号连接字段和值
<字段名>:<字段值>
title : “Learning ELK”
title : “Learning ELK” AND category : “technology”
范围搜索
- 一般用于查询某个字段的取值范围,如搜索特定的日期范围
date_of_record : [20200101 TO 20200606]
- 查询
volume
字段的取值在10000~20000之间的所有文档
volume : [10000 TO 20000]
- 范围搜索和字段搜索可以与布尔符合组合使用,如
publish_date : [20200101 TO 20200606] AND title : “Learning ELK”
特殊字符转义
- 以下是特殊字符列表,如果需要在查询中使用这些特殊字符,则要使用\符号进行转义
+ - && || ! ( ) { } [ ] ^ “ ~ * ? : \
保存搜索
- 使用搜索页面上的”
save search
“选项可以把搜索保存起来并用于后面的可视化。已保存的搜索可以添加到仪表盘中
打开已保存搜索
- 搜索页面工具栏上的”
Load Saved Search
“选项可以打开之前已保存的搜索
借助字段列表来搜索字段
- 可通过点击字段特定取值上的“正”或“负”过滤按钮来进行字段查询
- 也可点击左侧字段列表上字段名称旁的
add
按钮让右侧面板显示指定的字段。这样可以根据fdvd
右边的结果表中显示字段的值
- 通过这种方式快速添加字段,也可以根据特定字段分类文档,还可以按照做生意顺序排列字段。对于建立快速搜索的表格非常有帮助
本作品采用《CC 协议》,转载必须注明作者和本文链接