Kibana4的功能
搜尋詞高亮顯示
Elasticsearch聚合
Kibana4廣泛使用Elasticsearch的聚合和子聚合為視覺化提供多種聚合功能。主要包含兩種型別的聚合
- 分桶(
Bucketing):生成一系列的桶,每個桶都有一組文件,例如短語、範圍、直方圖等 - 度量:計算一組文件的度量指標,例如最小值 、最大值 、求和,平均值等。只能在數值型別的欄位上進行這樣的計算
衍生欄位
- 衍生欄位(
Scripted fields)用於索引資料的動態計算
例如,某欄位需要在顯示之前乘以100,就可以將它儲存為衍生欄位,但衍生欄位不能被搜尋
動態儀表盤
- 儀表盤非常靈活,並且是動態的。可以方便地用其將各個視覺化元件根據需要拖拽排列,並且資料也可以自動重新整理
Kibana介面
- 包含4個主要的標籤
- 搜尋:可自由搜尋,或基於欄位、範圍等搜尋
- 視覺化:建立許多型別的視覺化,如餅圖、柱狀圖、折線圖等,並且可以儲存起來,隨後在儀表盤中使用
- 儀表盤:多種視覺化和搜尋的集合,可以很簡單地應用於基於點選互動的過濾器,也能基於多種資料彙總獲得結論
- 設定:配置索引模式、衍生 欄位、欄位的資料型別等
搜尋頁面
- 適用於對索引資料進行互動式搜尋查詢。可以做基於欄位的特定搜尋、過濾資料、也可以檢視索引好的文件
- 左側:所有的索引模式
- 頂部:時間過濾器和搜尋框
- 頁面頭部:基於
@timestamp欄位的預設直方圖;對應搜尋結果的命中數 - 搜尋結果:按時間倒序顯示最新的500個文件
時間過濾器
快捷時間過濾器
相對時間過濾器
絕對時間過濾器
自動重新整理設定
區域觸發時間過濾器
查詢和檢索資料
Kibana使用Lucene查詢語法來搜尋索引資料。你也可以在Elasticsearch中使用Elasticsearch Query DSL
自由文字搜尋
- 從所有文件的所有欄位中查詢搜尋詞
AND
“Learning” AND “ELK”:搜尋同時包含這兩個單詞的文件
OR
“Logstash” OR “ELK”:包含Logstash或包含ELK的所有文件
NOT
“Logstash” NOT “ELK”:包含Logstash但不包含ELK的所有文件
分組
(“Logstash” OR “ELK” AND “Kibana”):包含Kibana並且包含ELK或者Logstash的所有文件
萬用字元搜尋
plan*:將搜尋所有形如plans、plant、planting等的文件
plan?:匹配plant、plans等文件
?和:?和不能用作搜尋條件的首字母
欄位搜尋
- 目的是搜尋索引文件中特定值 或特定範圍的欄位,這些欄位都顯示在搜尋頁面的左側;以冒號連線欄位和值
<欄位名>:<欄位值>
title : “Learning ELK”
title : “Learning ELK” AND category : “technology”
範圍搜尋
- 一般用於查詢某個欄位的取值範圍,如搜尋特定的日期範圍
date_of_record : [20200101 TO 20200606]
- 查詢
volume欄位的取值在10000~20000之間的所有文件
volume : [10000 TO 20000]
- 範圍搜尋和欄位搜尋可以與布林符合組合使用,如
publish_date : [20200101 TO 20200606] AND title : “Learning ELK”
特殊字元轉義
- 以下是特殊字元列表,如果需要在查詢中使用這些特殊字元,則要使用\符號進行轉義
+ - && || ! ( ) { } [ ] ^ “ ~ * ? : \
儲存搜尋
- 使用搜尋頁面上的”
save search“選項可以把搜尋儲存起來並用於後面的視覺化。已儲存的搜尋可以新增到儀表盤中
開啟已儲存搜尋
- 搜尋頁面工具欄上的”
Load Saved Search“選項可以開啟之前已儲存的搜尋
藉助欄位列表來搜尋欄位
- 可通過點選欄位特定取值上的“正”或“負”過濾按鈕來進行欄位查詢
- 也可點選左側欄位列表上欄位名稱旁的
add按鈕讓右側皮膚顯示指定的欄位。這樣可以根據fdvd右邊的結果表中顯示欄位的值
- 通過這種方式快速新增欄位,也可以根據特定欄位分類文件,還可以按照做生意順序排列欄位。對於建立快速搜尋的表格非常有幫助
本作品採用《CC 協議》,轉載必須註明作者和本文連結