日志查询神器 Kibana简单使用

Kibana 是通向 Elastic 产品集的窗口。 它可以在 Elasticsearch 中对数据进行视觉探索和实时分析。

时间过滤既按照时间范围查询document内容，如查询最近一个小时、最近一天、当天的数据等。也支持具体的时间范围查询(精确到毫秒)。

1).Time Range范围查询

条件查询Kibana支持两种方式查询。

1).通过Add Filter 按钮 添加过滤条件查询如下所示。

ToolBar工具按钮包含

可视化 (Visualize) 功能可以为您的 Elasticsearch 数据创建可视化控件。然后，您就可以创建仪表板将这些可视化控件整合到一起展示。

线形图，区域图和条形图允许您在 X/Y 轴上绘制数据。绘制数据之前首先需要明确X轴Y轴的数据指标是什么，只有确定了XY轴指标之后才能进行绘制。下边我以Vertical Bar(垂直柱形图)为例。

Markdown 控件是一个文本输入字段，支持 Github 风格的 Markdown 文本。Kibana 会渲染输入到该字段的文本，并把结果展示在仪表板上。

语法教程参见：

https://www.runoob.com/markdown/md-tutorial.html

每个时间序列可视化生成器又包含5个子可视化页面

Kibana 仪表板（Dashboard） 展示保存的可视化结果集合。

示例如下：

Options:选项

https://www.elastic.co/guide/en/kibana/6.8/introduction.html

在搜索栏输入要查询的关键词,如 login ,会返回所有字段值中包含 login 的文档

或者使用双引号将多个关键词包起来作为一个短语搜索,如 "like Gecko"

注意:

以以下字段进行说明

field:value 限定字段全文搜索

filed:"value" 精确搜索：关键字加上双引号

http.code:404 搜索http状态码为404的文档

根据字段本身是否存在

_exists_:http 返回结果中需要有http字段

_missing_:http 不能含有http字段

以上字符当作值搜索的时候需要用\转义

? _ 不能用作第一个字符,例如：?text _text

es支持部分正则功能,性能较差, 只有keyword类型的字段支持正则表达式

quikc~ brwn~ foks~

:在一个单词后面加上 启用模糊搜索,可以搜到一些拼写错误的单词

first~ 这种也能匹配到 frist

还可以设置编辑距离（整数）,指定需要多少相似度

cromm~1 会匹配到 from 和 chrome

默认2,越大越接近搜索的原始值,设置为1基本能搜到80%拼写错误的单词

在短语后面加上~,可以搜到被隔开或顺序不同的单词

"where select"~5 表示 select 和 where 中间可以隔着5个单词,可以搜到 select password from users where id=1

数值/时间/IP/字符串 类型的字段可以对某一范围进行查询

使用^使一个词语比另一个搜索优先级更高,默认为1,可以为0~1之间的浮点数,来降低优先级

·+apache -jakarta test aaa bbb ：结果中必须存在apache,不能有jakarta,剩余部分尽量都匹配到

以下使用nginx日志进行搜索展示, kibana中查询语句,

Kibana 是一款开源的数据分析和可视化平台，它是 Elastic Stack 成员之一，设计用于和 Elasticsearch 协作。可以使用 Kibana 对 Elasticsearch 索引中的数据进行搜索、查看、交互 *** 作。也可以很方便的利用图表、表格及地图对数据进行多元化的分析和呈现。

学习网址:

https://www.elastic.co/guide/cn/kibana/current/setup.html

一、工具栏导航

graph

在Elasticsearch数据中显示并分析相关关系。

discover

通过查询和过滤原始文档以交互方式浏览数据。

visualize

在Elasticsearch索引中创建可视化并聚合数据存储。

dashboard

显示并共享可视化和保存的搜索的集合。

canvas

以像素完美的方式展示您的数据。

maps

探索来自Elasticsearch和Elastic Maps Service的地理空间数据。

machine learning

自动对时间序列数据的正常行为建模以检测异常。

infrastructure

探索基础结构指标和常见服务器，容器和服务的日志。

logs

实时流式记录日志或在类似控制台的体验中滚动浏览历史视图。

APM

从应用程序内部自动收集深入的性能指标和错误。

uptime

执行端点运行状况检查和正常运行时间监视。

SIEM

探索安全指标并记录事件和警报

Console

跳过cURL并使用此JSON接口直接处理您的数据。

Index Patterns

管理有助于从Elasticsearch检索数据的索引模式。

Monitoring

跟踪d性堆栈的实时运行状况和性能。

Rollups

将历史数据汇总并存储在较小的索引中，以供将来分析。

Saved Objects

导入，导出和管理您保存的搜索，可视化和仪表板。

Security Settings

保护您的数据并轻松管理哪些用户可以访问用户和角色。

Spaces

将仪表板和其他保存的对象组织到有意义的类别中。

Watcher

通过创建，管理和监视警报来检测数据中的更改。

Dev Tools

开发工具

metrics

从服务器上运行的 *** 作系统和服务收集指标。

management

管理索引，索引模式，保存的对象，Kibana设置等。

二、查询语法

1.通配符搜索可以在单个条件下运行，?用于替换单个字符，以及*替换零个或多个字符

2.常用表达通过将正则表达式模式包含在正斜杠（"/"）中，可以将它们嵌入查询字符串中

3.模糊性我们可以使用“模糊”运算符搜索与我们的搜索词相似但不完全相同的词

4.范围可以为日期，数字或字符串字段指定范围。包含范围用方括号指定，[min TO max]排除范围用花括号指定{min TO max}

三、Discover 的数据探索功能

搜索页面详情如下图：

四、Visualize的 *** 作及其配置

点击创建新的可视化，选择图表类型和数据索引来进行可视化绘图 *** 作。

可以通过单击 + Add Metrics 按钮来添加聚合。

在 Custom Label 输入域中输入字符串以更改显示标签。

为视图X轴选择一个桶聚合：

一旦指定了 X 轴聚合，可以定义子聚合来优化可视化。单击 + Add Sub Aggregation 定义子聚合，然后选择 Split Area 或 Split Chart ，然后从类型列表中选择一个子聚合。

在图表轴上定义多个聚合时，可以使用聚合类型右侧的向上或向下箭头来更改聚合的优先级。

五、Dashboard的使用

要用仪表板，你需要至少有一个已保存的 visualization。

Kibana 仪表板（Dashboard） 展示保存的可视化结果集合。在编辑模式下，可以根据需要安排和调整可视化结果集，并保存仪表板，以便重新加载和共享。

---