国庆期间技术精进02:kibana入门

Java工程师的修炼之道
1,260 阅读5分钟

昨天接触到kibana技术,同事给我讲述了怎么用?利用假期时间了解和学习以下kibana技术。

Kibana 是一款开源的数据分析和可视化平台,它是 Elastic Stack 成员之一,设计用于和 Elasticsearch 协作。您可以使用 Kibana 对 Elasticsearch 索引中的数据进行搜索、查看、交互操作。您可以很方便的利用图表、表格及地图对数据进行多元化的分析和呈现。

Kibana 可以使大数据通俗易懂。它很简单,基于浏览器的界面便于您快速创建和分享动态数据仪表板来追踪 Elasticsearch 的实时数据变化。

搭建 Kibana 非常简单。您可以分分钟完成 Kibana 的安装并开始探索 Elasticsearch 的索引数据没有代码、不需要额外的基础设施。

数据探索

设置时间过滤

时间过滤器按照指定的时间段展示搜索结果。设置了 index contains time-based events 和 time-field 的索引模式可以使用时间过滤器。

时间过滤器默认的时间段为最近15分钟。您可以使用页面顶部的 Time Picker 来调整时间段和刷新频率。

通过 Time Picker 设置时间过滤器:

1.点击 Kibana 工具栏中的 Time Picker。

2.可以通过点击一个时间段设置快速过滤。

3.可以基于当前时间来设置相对时间过滤器,点击Relative后选择数字和时间单位(秒、分、时、天、月、年)来指定当前时间多久之前是开始时间。也可以用同样的方式指定当前多久之后为结束时间。相对时间既可以是过往也可以是将来。

4.可以点击 Absolute ,通过修改 To 和 From 字段直接指定开始时间和结束时间。

5.点击工具条下方最右侧的脱字符图标来关闭 Time Picker 。 用如下两种方式可以通过直方图来设置时间过滤器:

直接点击直方图上的一根柱子来放大对应的时间段。 通过拖拽的方式指定时间段。当光标在图表的背景上变成一个加号时,代表这是可以选取的时间段。 可以点击 Time Picker 左边和右边的箭头来选择上一个或下一个时间段:

您可以通过浏览器的返回按钮进行撤销操作。

时间段和刷新周期会在直方图上展示。默认情况下,刷新周期会根据时间段来自动设置。也可以可以通过页面上的链接手动设置刷新周期。

探索您的数据编辑

单击侧面导航中的 Discover 进入 Kibana 的数据探索功能:

在查询框里,您可以输入 Elasticsearch 查询语句 来搜索您的数据。您可以在 Discover 页面下查看搜索结果并在 Visualize 页面下生成已保存搜索的可视化效果。 Elasticsearch 查询语句

当前索引模式显示在查询栏下面。索引模式决定了当您提交查询时搜索哪些索引。要搜索一组不同的索引,可以从下拉菜单中选择不同的模式。要添加索引模式,请到 Management/Kibana/Index Patterns 界面下点击 Add New 。

您可以把您感兴趣的字段名称和值当做搜索的条件,对于数字字段您可以使用比较运算符,例如大于(>)、小于(<)或等于(=)。您可以使用逻辑运算符 AND,OR 和 NOT 连接搜索条件,这些运算符需要全部大写。

尝试选择 ba* 索引模式并在查询栏中输入以下字符串:

account_number:<100 AND balance:>47500

此查询返回0到99之间所有余额超过47,500的账户号码。搜索银行样本数据时,它返回5个结果:帐户号码8,32,78,85和97。

每个匹配的文档默认显示所有字段。可以将鼠标悬停在可用字段上并点击您想要展示字段旁边的 add 按钮来添加需要展示的字段。例如,如果您仅仅添加 account_number ,就只会显示5个简单的账户号码的列表:

根据字段过滤

可以对搜索结果进行过滤,只显示包含特定字段值的文档。也可以创建否定过滤器,排除包含特定字段值的文档。

从 Fields 表或 Documents 表中选择要添加的字段过滤器。除了可以创建积极字段和消极过滤器外,Documents 表还可以过滤某一字段是否存在。使用过的过滤器会在 Query 栏下方显示。消极过滤器用红色显示。

从 Fields 列表中添加一个过滤器:

点击想要过滤的字段名。这里显示了该领域最常用的五个字段值。

2.添加积极过滤器,请点击 Positive Filter 按钮 Positive Filter。这会只显示包含该字段值的文档。

  1. 添加消极过滤器,请点击 Negative Filter 按钮 Negative Filter。这会排除包含该字段值的文档。 从 Documents 表中添加一个过滤器:

3.1.通过点击文档表条目左侧的 Expand 按钮 Expand Button 展开 Documents 表中的一个文档。

2.添加积极过滤器,请点击该字段名右侧的 Positive Filter 按钮 Positive Filter Button。这会只显示包含该字段值的文档。

3.添加消极过滤器,请点击该字段名右侧的 Negative Filter 按钮 Negative Filter Button。这会排除包含该字段值的文档。

4.过滤文档是否包含某一字段,请点击该字段名右侧的 Exists 按钮 Exists Button。这会只显示包含该字段的文档。

管理过滤器:

修改一个过滤器,请将鼠标置于该过滤器,然后点击某个操作按钮。

编辑过滤器:

可以编辑一个过滤器对查询结果的过滤查询进行直接调整。这能够创建基于多个字段的更复杂的过滤器。

例如,可以使用 bool query 为示例日志数据创建一个过滤器,该日志数据显示的是加拿大或中国导致404错误的匹配记录。

{
  "bool": {
    "should": [
      {
        "term": {
          "geoip.country_name.raw": "Canada"
        }
      },
      {
        "term": {
          "geoip.country_name.raw": "China"
        }
      }
    ],
    "must": [
      {
        "term": {
          "response": "404"
        }
      }
    ]
  }
}

Kibana教程

avatar
文章
阅读
粉丝