一、檢視資料

正常情況下，訪問kibana，點選Discover，出現的效果如下圖：

選擇一條日誌，選擇json，可這條日誌轉換為json格式。

可以把某一欄位和值當做搜尋的條件，對於數字欄位可以使用比較運算子，例如大於（>）、小於（<）或等於（=）。可以使用邏輯運算子 AND，OR 和 NOT 連線搜尋條件，這些運算子需要全部大寫。例如：

 

account_number:<100 AND balance:>47500

每個匹配的文件預設顯示所有欄位。可以將滑鼠懸停在可用欄位上並點選您想要展示欄位旁邊的 add 按鈕來新增需要展示的欄位。例如，如果您僅僅新增 account_number ，就只會顯示5個簡單的賬戶號碼的列表：

 

二、資料探索

1、時間過濾：

1. 點選 Kibana 工具欄中的 Time Picker  。
2. 可以通過點選一個時間段設定快速過濾。
   
3. 可以基於當前時間來設定相對時間過濾器，點選 Relative 後選擇數字和時間單位（秒、分、時、天、月、年）來指定當前時間多久之前是開始時間。也可以用同樣的方式指定當前多久之後為結束時間。相對時間既可以是過往也可以是將來。
   
4. 可以點選 Absolute ，通過修改 To 和 From 欄位直接指定開始時間和結束時間。
   
5. 點選工具條下方最右側的脫字元圖示來關閉 Time Picker 。

2、搜尋資料：

可以在當前索引模式匹配索引進行搜尋，也可以直接在搜尋框中搜尋關鍵字。

儲存搜尋：

1. 點選 Kibana 工具欄的 Save 。
2. 輸入搜尋的名稱然後點選 Save 。
3. 在 Management/Kibana/Saved Objects 匯入、匯出或刪除已經儲存的搜尋。

 

開啟已儲存的搜尋：

1. 在 Kibana 工具欄點選 Open 。
2. 選擇要開啟的搜尋。

 

自動重新整理：

點選 Auto refresh ，在列表中選擇重新整理頻率。

 

3、檢視日誌上下文：

點選日誌列表左側的expand按鈕

 

詳細日誌出現後，點選View Surrounding Documents，即可檢視該條日誌的上下文。

 

 

三、視覺化資料

餅圖：

要指定要在餅圖中顯示哪些切片，可以使用Elasticsearch的bucket聚合，此聚合將匹配搜尋條件的文件排序為不同的類別，也稱為bucket。

使用bucket聚合來建立多個帳戶餘額範圍，並找出每個範圍中有多少帳戶。

1. 在Buckets窗格中，點選Split Slices。
2. 在Aggregation下拉選單中，選擇Range。
3. 在Field下拉選單中，選擇balance。
4. 點選Add Range 4次，使範圍總數達到6個。
5. 定義以下範圍：

0             999
1000         2999
3000         6999
7000        14999
15000       30999
31000       50000

1. 點選Apply changes。

 

柱狀圖：

設定x、y座標欄位即可

 

 

座標圖：

使用座標圖，你可以在日誌檔案示例資料中視覺化地理資訊。

1. 建立一個Coordinate map，並將搜尋源設定為logstash*（已建立好的索引模版）。
2. 在頂部的選單欄中，單擊最右邊的時間選擇器。
3. 點選Absolute。
4. 將開始時間設定為2015年5月18日，結束時間設定為2015年5月20日。
5. 點選Go。

你還沒有定義任何桶，所以視覺化是世界地圖。

現在，從日誌檔案對映地理座標。

1. 在Buckets窗格中，單擊Geo Coordinates。
2. 將Aggregation設定為Geohash，將Field設定為geo.coordinate。
3. 點選Apply changes。

現在地圖看起來像這樣：

你可以通過點選並拖動來導航地圖，地圖左上角的控制元件使你能夠縮放地圖並設定過濾器，試一下。