Kibana6.8.6简单操作手册

Kibaba6.8.6简单操作手册

Kibana,即是常提到的大数据日志处理组件ELK里的K,Kibana。

  • Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。使用Kibana,可以通过各种图表进行高级数据分析及展示。
  • Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。
  • Kibana 的版本需要和 Elasticsearch 的版本一致。这是官方支持的配置。不同主版本号的 Kibana 和 Elasticsearch 是不支持的(例如 Kibana 5.x 和 Elasticsearch 2.x),若主版本号相同,运行 Kibana 子版本号比 Elasticsearch 子版本号新的版本也是不支持的。
  • 从6.0.0开始,Kibana 只支持64位操作系统。
  • 默认情况下,kibana连接本机的Elasticsearch实例,使用地址是localhost,本文kibana和Elasticsearch部署在同一台设备中。即是kibana数据源是从moloch里的Elasticsearch里面的数据。
  • 当访问 Kibana 时,Discover 页默认会加载默认的索引模式。时间过滤器设置的时间为过去15分钟,查询设置为匹配所有 (*) 。

默认kibana的端口为5601,,采用浏览器打开kibana方式  ip:5601 ,如下图:

  • Discover:日志管理视图,主要进行搜索和查询
  • Visualize:统计视图。视图展示,支持许多风格。可视化能使你创造你的Elasticsearch指标数据的可视化。然后你可以建立仪表板显示相关的可视化。Kibana的可视化是基于Elasticsearch查询。通过一系列的Elasticsearch聚合提取和处理您的数据,您可以创建图表显示你需要知道的关于趋势,峰值和骤降。您可以从搜索保存的搜索中创建可视化或从一个新的搜索查询开始。
  • Dashboard:仪表视图。图表展示,一个仪表板显示Kibana保存的一系列可视化。你可以根据需要安排和调整可视化,并保存仪表盘,可以被加载和共享。
  • Timelion:是一个时间序列数据的可视化功能,可以结合在一个单一的可视化完全独立的数据源。它是由一个简单的表达式语言驱动的,你用来检索时间序列数据,进行计算,找出复杂的问题的答案,并可视化的结果。这个功能由一系列的功能函数组成,同样的查询的结果,也可以通过Dashboard显示查看。
  • Canvas:大屏展示图
  • Maps :对应数据的全球地图
  • Machine Learning:机器学习、分析
  • Infrastructure:基础设施,架构
  • Logs :日志
  • APM:性能管理视图,应用程序的性能管理系统
  • Uptime:,如果冗余架构,配置Heartbeat以开始收集正常运行时间数据。
  • Dev Tools: 开发者命令视图,开发工具,可以直接操作es中的数据,使用户方便的通过浏览器直接与Elasticsearch进行交互。
  • Monitoring:健康视图,请求访问性能预警,监控集群、节点、索引等状态。
  • Management:管理视图,是在你执行你的运行时配置kibana,包括初始设置和指标进行配置模式,高级设置,调整自己的行为和Kibana,各种“对象”,你可以查看保存在整个Kibana的内容如发现页,可视化和仪表板。

1. Mangement视图

   首先进入Management界面创建index pattern,配置kibana跨数据查询日志和索引。

  默认是没有索引模式的,需要新创建一个。

  创建索引模式-----Kibana使用索引模式从Elasticsearch索引中检索数据,以实现可视化。

选择Index Patterns 配置如下:
①:要读取的日志文件的文件名或正则表达式
②:所有在es中的日志文件
③:①中过滤后点击下一步
选择索引,可以选择下拉框中的索引或者在下拉框中选择不使用索引。(这里由于Elasticsearch设置是按时间存储在sessions2,所以选择sessions2*)

 

创建完成后,点击Discover视图(选择根据时间索引)。

     注意:选择时间索引会可能发现什么都没有,那是因为选择了时间索引会根据当天收集的日志来显示,而当天如果没有收集到日志就没有数据产出,此时可以在右上角选择指定时间。

通过选择指定时间后会显示指定时间的日志信息,可通过左边的“Add a filter”字段进行过滤,也可以使用顶部搜索

2. Discover 视图

    单击侧面导航中的 Discover 进入 Kibana 的数据探索功能:

2.1  查询框、字段过滤器

  • 可以在当前索引模式匹配索引进行搜索,也可以直接在搜索框中搜索关键字。
  • 在查询框里,您可以输入 Elasticsearch 查询语句 来搜索您的数据。您可以在 Discover 页面下查看搜索结果并在 Visualize 页面下生成已保存搜索的可视化效果。
  • 或使用过滤器筛选可用信息,将字段名称和值当做搜索的条件,每个匹配的文档默认显示所有字段。
  • 或可以将鼠标悬停在可用字段上并点击您想要展示字段旁边的 add 按钮来添加需要展示的字段。

以下是查询源IP172.18.20.220的数据, 显示访问的目的IP。

2.2 时间过滤器 

  • Quick:可以通过点击一个时间段设置快速过滤;
  • Relative :以基于当前时间来设置相对时间过滤器,选择数字和时间单位(秒、分、时、天、月、年)来指定当前时间多久之前是开始时间;
  • Absolute:绝对时间,通过修改 To 和 From 字段直接指定开始时间和结束时间。

2.3 导入、导出或删除已经保存的搜索

3. Visualize 视图

  • Pie 饼图:显示每个数据来源的占比。
  • Vertical Bar 垂直条形图:设置x、y坐标字段即可。
  • Data Table:数据统计表。
  • Horizontal Bar:可视化生成器,用垂直条形图作为一个通用图形。
  • Line :用折线图来比较不同序列。
  • Markdown : 用 Markdown 显示自定义格式的信息或和你仪表盘有关的用法说明。
  • Area :用区块图来可视化多个不同序列的总体贡献。
  • Metric :用指标可视化在你仪表盘上显示单个数字。
  • Timelion:计算和展示多个时间序列数据。
  • Redion Map 坐标图:可以在日志文件示例数据中可视化地理信息。

3.1 Pie 饼图

  • 可以为已保存的搜索建立可视化效果,或者输入新的搜索条件。
  • 使用后者时,首先需要选择一个索引模式来指定搜索哪些索引。
  • 默认搜索匹配所有的文档。初始饼图没有分区,有两个选项:

   ① Data:数据,显示一个组合聚合的原始数据。 Metrics:切片尺寸,显示单个数字。    Buckets:聚合桶,将匹配搜索条件的文档排序为不同的类别。

   ② Options: 选配,选择饼图后显示的是圆环图,需要在饼图设置中关闭圆环图才会显示饼图

如何采用饼图显示目标访问端口量数据?

  • Count count :聚合返回选中索引模式中元素的原始计数。
  • Average: 这个聚合返回一个数值字段的 average 。从下拉菜单选择一个字段。
  • Sum sum :聚合返回一个数值字段的总和。从下拉菜单选择一个字段。
  • Min min :聚合返回一个数值字段的最小值。从下拉菜单选择一个字段。
  • Max max :聚合返回一个数值字段的最大值。从下拉菜单选择一个字段。
  • Unique Count cardinality: 聚合返回一个字段的去重数据值。从下拉菜单选择一个字段。
  • Standard Deviation extended stats :聚合返回一个数值字段数据的标准差。从下拉菜单选择一个字段。
  • Percentile percentile :聚合返回一个数值字段中值的百分比分布。从下拉菜单选择一个字段,然后在 Percentiles 框内指定范围。点击 X 移除一个百分比框,点击 +Add 添加一个百分比框。
  • Percentile Rank percentile ranks: 聚合返回一个数值字段中你指定值的百分位排名。从下拉菜单选择一个字段,然后在 Values 框内指定一到多个百分位排名值。点击 X 移除一个百分比框,点击 +Add 添加一个数值框。

  • Date Histogram date histogram 基于数值字段创建,由时间组织起来。你可以指定时间片的间隔,单位包括秒,分,小时,天,星期,月,年。
  • Histogram 标准 histogram 基于数值字段创建。为这个字段指定一个整数间隔。勾选 Show empty buckets 让直方图中包含空的间隔。
  • Range 通过 range 聚合。你可以为一个数值字段指定一系列区间。点击 Add Range 添加一对区间端点。点击红色 (x) 符号移除一个区间。
  • Date Range date range 聚合计算你指定的时间区间内的值。你可以使用 date math 表达式指定区间。点击 Add Range 添加新的区间端点。点击红色 (/) 符号移除区间。
  • IPv4 Range IPv4 range 聚合用来指定 IPv4 地址的区间。点击 Add Range 添加新的区间端点。点击红色 (/) 符号移除区间。
  • Terms terms 聚合允许你指定展示一个字段的首尾几个元素,排序方式可以是计数或者其他自定义的metric。
  • Filters 你可以为数据指定一组 filters。你可以用 querystring(全文搜索简易检所语法),也可以用 JSON 格式来指定过滤器,就像在 Discover 页的搜索栏里一样。点击 Add Filter 添加下一个过滤器。
  • Significant Terms 展示实验性的 significant terms 聚合的结果。
  • 也许你需要对某一个数据进行计算,你可以使用json表达式:{ "script" : "doc['grade'].value * 1.2" } grade代表字段,后面后面是算数表达式。

3.2 Vertical Bar 垂直条形图 

      默认已经有一个Y轴了,统计的是数量,只需添加一个X轴。

如何采用条形图显示每分钟访问的数据量?

3.3 Data Table:数据统计表 

如何采用数据统计表显示访问目标地址top20的信息?

3.4 Horizontal Bar:可视化生成器

如何采用可视化图表显示访问数据的流量走势图?

4. Dashboard:仪表视图

图表展示,一个仪表板显示Kibana保存的一系列可视化。你可以根据需要安排和调整可视化,并保存仪表盘,可以被加载和共享。 

  • 如下图在Visualize页面按需求完成8个可视化图/表。
  • Dashdoard页面可直接添加Visualize的可视化图/表在同一个仪表盘。
  • 可在仪表盘使用过滤器直接筛选所需数据。
  • 保存,便于后期直接查看数据。

 

 

未完待续   ..... 

posted on 2021-01-22 16:36  CARLOS_CHIANG  阅读(106)  评论(0编辑  收藏

导航