Kibana6.8.6简单操作手册
Kibaba6.8.6简单操作手册
Kibana,即是常提到的大数据日志处理组件ELK里的K,Kibana。
- Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。使用Kibana,可以通过各种图表进行高级数据分析及展示。
- Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。
- Kibana 的版本需要和 Elasticsearch 的版本一致。这是官方支持的配置。不同主版本号的 Kibana 和 Elasticsearch 是不支持的(例如 Kibana 5.x 和 Elasticsearch 2.x),若主版本号相同,运行 Kibana 子版本号比 Elasticsearch 子版本号新的版本也是不支持的。
- 从6.0.0开始,Kibana 只支持64位操作系统。
- 默认情况下,kibana连接本机的Elasticsearch实例,使用地址是localhost,本文kibana和Elasticsearch部署在同一台设备中。即是kibana数据源是从moloch里的Elasticsearch里面的数据。
- 当访问 Kibana 时,Discover 页默认会加载默认的索引模式。时间过滤器设置的时间为过去15分钟,查询设置为匹配所有 (*) 。
默认kibana的端口为5601,,采用浏览器打开kibana方式 ip:5601 ,如下图:
- Discover:日志管理视图,主要进行搜索和查询
- Visualize:统计视图。视图展示,支持许多风格。可视化能使你创造你的Elasticsearch指标数据的可视化。然后你可以建立仪表板显示相关的可视化。Kibana的可视化是基于Elasticsearch查询。通过一系列的Elasticsearch聚合提取和处理您的数据,您可以创建图表显示你需要知道的关于趋势,峰值和骤降。您可以从搜索保存的搜索中创建可视化或从一个新的搜索查询开始。
- Dashboard:仪表视图。图表展示,一个仪表板显示Kibana保存的一系列可视化。你可以根据需要安排和调整可视化,并保存仪表盘,可以被加载和共享。
- Timelion:是一个时间序列数据的可视化功能,可以结合在一个单一的可视化完全独立的数据源。它是由一个简单的表达式语言驱动的,你用来检索时间序列数据,进行计算,找出复杂的问题的答案,并可视化的结果。这个功能由一系列的功能函数组成,同样的查询的结果,也可以通过Dashboard显示查看。
- Canvas:大屏展示图
- Maps :对应数据的全球地图
- Machine Learning:机器学习、分析
- Infrastructure:基础设施,架构
- Logs :日志
- APM:性能管理视图,应用程序的性能管理系统
- Uptime:,如果冗余架构,配置Heartbeat以开始收集正常运行时间数据。
- Dev Tools: 开发者命令视图,开发工具,可以直接操作es中的数据,使用户方便的通过浏览器直接与Elasticsearch进行交互。
- Monitoring:健康视图,请求访问性能预警,监控集群、节点、索引等状态。
- Management:管理视图,是在你执行你的运行时配置kibana,包括初始设置和指标进行配置模式,高级设置,调整自己的行为和Kibana,各种“对象”,你可以查看保存在整个Kibana的内容如发现页,可视化和仪表板。
1. Mangement视图
首先进入Management界面创建index pattern,配置kibana跨数据查询日志和索引。
默认是没有索引模式的,需要新创建一个。
创建索引模式-----Kibana使用索引模式从Elasticsearch索引中检索数据,以实现可视化。
选择Index Patterns 配置如下:
①:要读取的日志文件的文件名或正则表达式
②:所有在es中的日志文件
③:①中过滤后点击下一步
选择索引,可以选择下拉框中的索引或者在下拉框中选择不使用索引。(这里由于Elasticsearch设置是按时间存储在sessions2,所以选择sessions2*)
创建完成后,点击Discover视图(选择根据时间索引)。
注意:选择时间索引会可能发现什么都没有,那是因为选择了时间索引会根据当天收集的日志来显示,而当天如果没有收集到日志就没有数据产出,此时可以在右上角选择指定时间。
通过选择指定时间后会显示指定时间的日志信息,可通过左边的“Add a filter”字段进行过滤,也可以使用顶部搜索
2. Discover 视图
单击侧面导航中的 Discover 进入 Kibana 的数据探索功能:
2.1 查询框、字段过滤器
- 可以在当前索引模式匹配索引进行搜索,也可以直接在搜索框中搜索关键字。
- 在查询框里,您可以输入 Elasticsearch 查询语句 来搜索您的数据。您可以在 Discover 页面下查看搜索结果并在 Visualize 页面下生成已保存搜索的可视化效果。
- 或使用过滤器筛选可用信息,将字段名称和值当做搜索的条件,每个匹配的文档默认显示所有字段。
- 或可以将鼠标悬停在可用字段上并点击您想要展示字段旁边的 add 按钮来添加需要展示的字段。
以下是查询源IP172.18.20.220的数据, 显示访问的目的IP。
2.2 时间过滤器
- Quick:可以通过点击一个时间段设置快速过滤;
- Relative :以基于当前时间来设置相对时间过滤器,选择数字和时间单位(秒、分、时、天、月、年)来指定当前时间多久之前是开始时间;
- Absolute:绝对时间,通过修改 To 和 From 字段直接指定开始时间和结束时间。
2.3 导入、导出或删除已经保存的搜索
3. Visualize 视图
- Pie 饼图:显示每个数据来源的占比。
- Vertical Bar 垂直条形图:设置x、y坐标字段即可。
- Data Table:数据统计表。
- Horizontal Bar:可视化生成器,用垂直条形图作为一个通用图形。
- Line :用折线图来比较不同序列。
- Markdown : 用 Markdown 显示自定义格式的信息或和你仪表盘有关的用法说明。
- Area :用区块图来可视化多个不同序列的总体贡献。
- Metric :用指标可视化在你仪表盘上显示单个数字。
- Timelion:计算和展示多个时间序列数据。
- Redion Map 坐标图:可以在日志文件示例数据中可视化地理信息。
3.1 Pie 饼图
- 可以为已保存的搜索建立可视化效果,或者输入新的搜索条件。
- 使用后者时,首先需要选择一个索引模式来指定搜索哪些索引。
- 默认搜索匹配所有的文档。初始饼图没有分区,有两个选项:
① Data:数据,显示一个组合聚合的原始数据。 Metrics:切片尺寸,显示单个数字。 Buckets:聚合桶,将匹配搜索条件的文档排序为不同的类别。
② Options: 选配,选择饼图后显示的是圆环图,需要在饼图设置中关闭圆环图才会显示饼图
如何采用饼图显示目标访问端口量数据?
- Count count :聚合返回选中索引模式中元素的原始计数。
- Average: 这个聚合返回一个数值字段的 average 。从下拉菜单选择一个字段。
- Sum sum :聚合返回一个数值字段的总和。从下拉菜单选择一个字段。
- Min min :聚合返回一个数值字段的最小值。从下拉菜单选择一个字段。
- Max max :聚合返回一个数值字段的最大值。从下拉菜单选择一个字段。
- Unique Count cardinality: 聚合返回一个字段的去重数据值。从下拉菜单选择一个字段。
- Standard Deviation extended stats :聚合返回一个数值字段数据的标准差。从下拉菜单选择一个字段。
- Percentile percentile :聚合返回一个数值字段中值的百分比分布。从下拉菜单选择一个字段,然后在 Percentiles 框内指定范围。点击 X 移除一个百分比框,点击 +Add 添加一个百分比框。
- Percentile Rank percentile ranks: 聚合返回一个数值字段中你指定值的百分位排名。从下拉菜单选择一个字段,然后在 Values 框内指定一到多个百分位排名值。点击 X 移除一个百分比框,点击 +Add 添加一个数值框。
- Date Histogram date histogram 基于数值字段创建,由时间组织起来。你可以指定时间片的间隔,单位包括秒,分,小时,天,星期,月,年。
- Histogram 标准 histogram 基于数值字段创建。为这个字段指定一个整数间隔。勾选 Show empty buckets 让直方图中包含空的间隔。
- Range 通过 range 聚合。你可以为一个数值字段指定一系列区间。点击 Add Range 添加一对区间端点。点击红色 (x) 符号移除一个区间。
- Date Range date range 聚合计算你指定的时间区间内的值。你可以使用 date math 表达式指定区间。点击 Add Range 添加新的区间端点。点击红色 (/) 符号移除区间。
- IPv4 Range IPv4 range 聚合用来指定 IPv4 地址的区间。点击 Add Range 添加新的区间端点。点击红色 (/) 符号移除区间。
- Terms terms 聚合允许你指定展示一个字段的首尾几个元素,排序方式可以是计数或者其他自定义的metric。
- Filters 你可以为数据指定一组 filters。你可以用 querystring(全文搜索简易检所语法),也可以用 JSON 格式来指定过滤器,就像在 Discover 页的搜索栏里一样。点击 Add Filter 添加下一个过滤器。
- Significant Terms 展示实验性的 significant terms 聚合的结果。
- 也许你需要对某一个数据进行计算,你可以使用json表达式:{ "script" : "doc['grade'].value * 1.2" } grade代表字段,后面后面是算数表达式。
3.2 Vertical Bar 垂直条形图
默认已经有一个Y轴了,统计的是数量,只需添加一个X轴。
如何采用条形图显示每分钟访问的数据量?
3.3 Data Table:数据统计表
如何采用数据统计表显示访问目标地址top20的信息?
3.4 Horizontal Bar:可视化生成器
如何采用可视化图表显示访问数据的流量走势图?
4. Dashboard:仪表视图
图表展示,一个仪表板显示Kibana保存的一系列可视化。你可以根据需要安排和调整可视化,并保存仪表盘,可以被加载和共享。
- 如下图在Visualize页面按需求完成8个可视化图/表。
- Dashdoard页面可直接添加Visualize的可视化图/表在同一个仪表盘。
- 可在仪表盘使用过滤器直接筛选所需数据。
- 保存,便于后期直接查看数据。
未完待续 .....
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
posted on 2021-01-22 16:36 CARLOS_KONG 阅读(959) 评论(0) 编辑 收藏 举报