《Learning ELK Stack》6 使用Kibana理解数据

6 使用Kibana理解数据

Kibana4的功能

搜索词高亮显示

Elasticsearch聚合

• Kibana4广泛使用Elasticsearch的聚合和子聚合为可视化提供多种聚合功能。主要包含两种类型的聚合

1. 分桶（Bucketing）：生成一系列的桶，每个桶都有一组文档，例如短语、范围、直方图等
2. 度量：计算一组文档的度量指标，例如最小值 、最大值 、求和，平均值等。只能在数值类型的字段上进行这样的计算

衍生字段

• 衍生字段（Scripted fields）用于索引数据的动态计算

例如，某字段需要在显示之前乘以100，就可以将它存储为衍生字段，但衍生字段不能被搜索

动态仪表盘

• 仪表盘非常灵活，并且是动态的。可以方便地用其将各个可视化组件根据需要拖拽排列，并且数据也可以自动刷新

Kibana界面

• 包含4个主要的标签

1. 搜索：可自由搜索，或基于字段、范围等搜索
2. 可视化：创建许多类型的可视化，如饼图、柱状图、折线图等，并且可以保存起来，随后在仪表盘中使用
3. 仪表盘：多种可视化和搜索的集合，可以很简单地应用于基于点击交互的过滤器，也能基于多种数据汇总获得结论
4. 设置：配置索引模式、衍生 字段、字段的数据类型等

搜索页面

• 适用于对索引数据进行交互式搜索查询。可以做基于字段的特定搜索、过滤数据、也可以查看索引好的文档

• 左侧：所有的索引模式
• 顶部：时间过滤器和搜索框
• 页面头部：基于@timestamp字段的默认直方图；对应搜索结果的命中数
• 搜索结果：按时间倒序显示最新的500个文档

时间过滤器

快捷时间过滤器

相对时间过滤器

绝对时间过滤器

自动刷新设置

区域触发时间过滤器

查询和检索数据

• Kibana使用Lucene查询语法来搜索索引数据。你也可以在Elasticsearch中使用Elasticsearch Query DSL

自由文本搜索

• 从所有文档的所有字段中查找搜索词

搜索语法：https://lucene.apache.org/core/8_5_2/queryparser/org/apache/lucene/queryparser/classic/package-summary.html#package.description

AND

"Learning" AND "ELK"：搜索同时包含这两个单词的文档

OR

"Logstash" OR "ELK"：包含Logstash或包含ELK的所有文档

NOT

"Logstash" NOT "ELK"：包含Logstash但不包含ELK的所有文档

分组

("Logstash" OR "ELK" AND "Kibana")：包含Kibana并且包含ELK或者Logstash的所有文档

通配符搜索

plan*：将搜索所有形如plans、plant、planting等的文档 plan?：匹配plant、plans等文档 ?和：?和不能用作搜索条件的首字母

字段搜索

• 目的是搜索索引文档中特定值 或特定范围的字段，这些字段都显示在搜索页面的左侧；以冒号连接字段和值

<字段名>:<字段值> title : "Learning ELK" title : "Learning ELK" AND category : "technology"

范围搜索

• 一般用于查询某个字段的取值范围，如搜索特定的日期范围

date_of_record : [20200101 TO 20200606]

• 查询volume字段的取值在10000~20000之间的所有文档

volume : [10000 TO 20000]

• 范围搜索和字段搜索可以与布尔符合组合使用，如

publish_date : [20200101 TO 20200606] AND title : "Learning ELK"

特殊字符转义

• 以下是特殊字符列表，如果需要在查询中使用这些特殊字符，则要使用\符号进行转义

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

保存搜索

• 使用搜索页面上的"save search"选项可以把搜索保存起来并用于后面的可视化。已保存的搜索可以添加到仪表盘中

打开已保存搜索

• 搜索页面工具栏上的"Load Saved Search"选项可以打开之前已保存的搜索

借助字段列表来搜索字段

• 可通过点击字段特定取值上的“正”或“负”过滤按钮来进行字段查询

• 也可点击左侧字段列表上字段名称旁的add按钮让右侧面板显示指定的字段。这样可以根据fdvd右边的结果表中显示字段的值

• 通过这种方式快速添加字段，也可以根据特定字段分类文档，还可以按照做生意顺序排列字段。对于建立快速搜索的表格非常有帮助