Kibana使用指南介绍
Kibana 是一个强大的可视化和查询平台,也是ELK 堆栈中的主要可视化组件。该工具具有干净的用户界面,其中包含许多有用的功能,可用于查询、可视化并将数据转化为实用信息。
本教程提供有关在 Kibana 中查询和可视化数据的示例和说明。
先决条件
- Kibana 已部署和配置。
- 用于 Web 流量的示例 Kibana 数据。
- 用于访问 Kibana 仪表板的浏览器。
什么是 Kibana?
Kibana 是一个基于浏览器的可视化、探索和分析平台。与 Elasticsearch 和 Logstash 一起,Kibana 是 Elastic 堆栈的重要组成部分。直观的用户界面有助于通过各种绘图、图表、图形和地图将索引的 Elasticsearch 数据创建为图表。
最佳Kibana用法教程:Kibana 有什么用?
Kibana 是一种用于查询和分析大量半结构化日志数据的工具。在 ELK 堆栈中,Kibana 充当存储在 Elasticsearch 中的数据的 Web 界面。
一些用例包括:
- 实时分析网站流量。
- 感官数据分析和监测。
- 电子商务网站的销售统计。
- 电子邮件传送监视器。
除了可视化、分析和数据探索之外,Kibana 还提供了一个用于管理 Elasticsearch 授权和身份验证的用户界面。
注意:在两分钟内部署一个由 Ubuntu 驱动的裸机云实例,并为你的 ELK 监控堆栈提供一个完美的平台。高可用性服务器的价格低至 0.10 美元/小时。
要在你的 Ubuntu BMC 实例上安装 ELK 堆栈,请按照我们的教程:如何在 Ubuntu 18.04 / 20.04 上安装 ELK 堆栈。
Kibana 功能
如何使用Kibana?Kibana 有许多令人兴奋的功能。下表概述了一些更显着的功能。
| 特征 | 描述 |
|---|---|
| 可视化 | Core Kibana 具有经典的图形界面:饼图、直方图、折线图等。 |
| 仪表盘 | 在一个仪表板窗格上将各种可视化拼凑在一起,可以创建更直接的数据概览。 |
| 生成和共享报告 | 生成 CSV 表、嵌入可视化和通过 URL 共享。 |
| 搜索和过滤 | 使用直观的 Kibana 查询语言 (KQL) 进行数据过滤和查询。 |
| 插件 | 其他可视化和 UI 工具,例如 3D 图形、日历可视化和 Prometheus 导出器,可通过插件获得。 |
| 地理空间分析 | 空间数据的可视化提供了真实的位置视图。 |
| 时间序列分析 | 使用聚合进行时间序列数据分析的可视化构建器。 |
| canvas | 完全可自定义的颜色、形状、文本和动态演示查询。 |
Kibana 索引模式
Kibana使用指南:索引模式是 Elasticsearch 与 Kibana 通信的方式。定义的索引模式告诉 Kibana 检索和使用来自 Elasticsearch 的哪些数据。按照以下步骤添加索引模式:
1. 页面顶部的搜索栏帮助定位 Kibana 中的选项。按CTRL + /或单击搜索栏开始搜索。
2. Kibana用法示例:键入索引模式。按Enter选择搜索结果。
搜索不区分大小写。
3.索引模式页面打开。单击创建索引模式以创建索引模式。
4. 要定义索引模式,请按确切名称搜索要添加的索引。使用星号 ( *) 表示接近匹配或匹配具有相似名称的多个索引。
如果你不确定索引名称,可用的索引模式列在底部。我们在本教程中使用 Kibana 示例 Web 流量数据。单击下一步继续。
5. 如果数据有带时间戳的索引,指定默认时间字段,按时间过滤数据。从下拉菜单中选择适当的选项。
或者,如果你没有时间数据或合并时间字段,请选择我不想使用时间过滤器选项。按创建索引模式按钮完成。
6. 要浏览数据,请在搜索栏中键入Discover ( CTRL + / ),然后按Enter。
7. 从左侧窗格的下拉菜单中选择索引模式。
发现页面显示来自创建的索引模式的数据。
Kibana 搜索
Kibana 提供了多种方法来对数据执行查询。单击搜索字段会提供建议和自动完成选项,从而使学习曲线更加平滑。保存代码以供以后在可视化中使用。
以下是搜索信息的最常见方法以及最佳实践。
KQL 和 Lucene
6.2 及之前的版本使用 Lucene 来查询数据。较新的版本添加了使用 Kuery 或 KQL 语言来改进搜索的选项。7.0 和更新的版本默认使用 KQL,并提供恢复到 Lucene 的选择。
要将语言更改为 Lucene,请单击搜索栏中的KQL按钮。将Kibana Query Language选项更改为Off。
文本搜索
使用没有任何字段或本地语句的搜索框在所有可用数据字段中执行自由文本搜索。
如果没有显示数据,请尝试扩展搜索框旁边的时间字段以获取更大范围。
Kibana用法示例:单字查询
搜索该词会elasticsearch在所有字段的数据中找到所有实例。
Kibana 中的查询不区分大小写。使用星号 ( *) 进行模糊字符串搜索。
最佳Kibana用法教程:多字查询
按空格键分隔单词并查询多个单独的术语。
例如,get elasticsearch定位elasticsearch和get作为单独的词。
字符串查询
要匹配精确的字符串,请使用引号。
例如,"get elasticsearch"查询整个字符串。
字段搜索
如何使用Kibana?Kibana 允许搜索单个字段。检查左下角菜单窗格中可用字段下的所有可用字段:
要在特定字段中执行搜索,请使用以下语法:
<field name> : <query>查询语法取决于字段类型。
精确短语的搜索字段
例如,搜索消息响应的response.keyword字段"404":
输出显示指定字段中的所有匹配实例。通过用空格分隔查询词来搜索多个值:
response.keyword : 404 200注意字段类型设置为t,表示该字段为文本类型。
搜索字段范围
数字和日期类型通常需要一个范围。KQL 支持四种范围运算符。
- 大于 (>)。
- 小于 (<)。
- 大于或等于 (>=)。
- 小于或等于 (<=)。
例如,搜索日期范围:
@timestamp <= "2021-09-02"
输出显示列出日期之前的所有日期,包括列出的日期。
Kibana使用指南:布尔查询
逻辑语句分析两个或多个查询的真值。出于视觉原因,逻辑运算符使用大写字母,小写字母也同样适用。布尔查询针对文本查询或在搜索字段时运行。
KQL 中共有三个逻辑运算符:
1.AND运营商要求这两个词都出现在搜索结果中。使用AND 定位在两个方面出现的所有实例:
<query> AND <query>例如:
elasticsearch AND get
将AND 运算符与字段查询相结合,以定位两个查询词都出现在特定字段中的所有实例:
<field name> : <query> AND <field name> : <query>例如,搜索 Windows XP 有 400 响应的所有实例:
machine.os.keyword : "win xp" AND response.keyword : "404"
输出显示了win xp和404一起出现的所有结果。
2.OR运算符要求至少一个参数为真。语法是:
<query> OR <query>例如:
elasticsearch OR get
合并OR运算符和字段查询以定位其中任一查询词出现在特定字段中的所有实例:
<field name> : <query> OR <field name> : <query>例如,搜索操作系统为 Windows XP 的所有结果,或响应为400:
machine.os.keyword : "win xp" OR response.keyword : "404"
3.NOT运算符否定搜索词。例如,搜索任何响应关键字,除了404:
NOT response.keyword : "404"或者,在搜索词之前使用-或!来表示否定。
Kibana 过滤器
Kibana 过滤器有助于在搜索查询中排除或包含字段。
1. 通过单击+ 添加过滤器链接创建过滤器。
将出现一个用于创建过滤器的对话框。
2.从下拉菜单中选择一个字段或开始搜索以获取自动建议。
3.从下拉菜单中选择一个操作员。
4.根据所选的运算符,会出现一个附加的值字段。在存在和不存在选项不需要值字段,而所有其他运营商做。如果操作员需要,请选择过滤值。
5. Kibana用法示例:作为可选步骤,为过滤器创建自定义标签。勾选创建自定义标签?复选框并提供名称。单击保存完成。
过滤器出现在搜索框下方,并自动应用于当前数据和所有进一步搜索。
添加多个过滤器以进一步缩小数据集搜索范围。
最佳Kibana用法教程:Kibana 可视化
Kibana 中的可视化是一项至关重要的功能,具有许多用于可视化和呈现数据的选项。
Kibana 可视化类型
创建可视化时,有五个编辑器可供选择:
1. Lens在拖放界面中创建视觉效果,并允许在视觉效果类型之间快速切换。对于大多数用例,建议使用该接口。
2. Maps是用于在地图上显示地理数据和图层信息的编辑器。
3. TSVB是高级时间序列分析的接口。
4.自定义可视化使用 Vega 语法来创建自定义图形。
5.基于聚合的可视化使用标准库来创建图表。
Kibana 还提供了两个额外的工具来增强演示:
1.文字和图片工具。
2. 用于添加滑块和下拉菜单的控件工具。
所有工具协同工作以创建用于呈现数据的仪表板。
Kibana 聚合
如何使用Kibana?Kibana 聚合工具提供了各种可视化:
1.区域突出显示轴和线之间的数据。
2.目标跟踪达到指定目标的指标进度。
3. Line 将数据显示为一系列点。
4.标签云显示词频。
5.数据表以行和列显示数据。
6.热图在带有阴影区域的单元格矩阵中显示数据。
7.指标将计算结果显示为单个数字。
8. Timelion绘制时间序列数据。
9.仪表显示指标状态。
10.单杠在在轴上的水平条显示数据。
11. Pie将部分数据与整体数据进行比较。
12.竖条在轴上的竖条中显示数据。
Kibana使用指南:在 Kibana 中创建可视化
在 Kibana 中创建可视化:
1.在顶部搜索栏中搜索Visualize Library(快捷键CTRL + /),然后按Enter。
2. 单击创建新可视化按钮。
3. 从列表中选择一种可视化类型。例如,向下滚动并选择基于聚合。
4. Kibana用法示例:从选项列表中,找到并选择饼图以创建饼图。
5. 按名称搜索索引模式并选择它以继续。出现创建仪表板。
6.为数据选择指标。该计数度量默认选择。
7. 添加一个Bucket参数并选择Split Slices。
8. 如何使用Kibana?为必填字段选择选项。例如,将聚合设置为Terms,将字段设置为machine.os.keyword。
9. 按更新按钮(快捷键CTRL + Enter)查看饼图。
使用选项、过滤和时间线来调整可视化效果。
10. 完成后,单击右上角的保存按钮。命名图表并选择新建以创建新仪表板。
单击保存并转到仪表板以查看仪表板中的可视化。保存仪表板并为其键入名称。
分享 Kibana 可视化
Kibana用法示例:实时共享仪表板或当前结果的快照。要共享 Kibana 仪表板:
1. 打开你要共享的仪表板。
2. 单击菜单栏中的共享。
3. 选择嵌入代码选项以生成 iFrame 对象。或者,选择永久链接选项以通过链接共享。
最佳Kibana用法教程结论
在这个Kibana使用指南的最后,你应该知道如何在 Kibana 仪表板上添加索引模式、查询数据和创建可视化。接下来,按照我们的教程保护数据和仪表板:如何为 Kibana 配置 Nginx 反向代理。
