《Learning ELK Stack》6 使用Kibana理解数据 | Elasticsearch 技术论坛

动态仪表盘

仪表盘非常灵活，并且是动态的。可以方便地用其将各个可视化组件根据需要拖拽排列，并且数据也可以自动刷新

`Kibana` 界面

包含4个主要的标签

搜索：可自由搜索，或基于字段、范围等搜索

可视化：创建许多类型的可视化，如饼图、柱状图、折线图等，并且可以保存起来，随后在仪表盘中使用

仪表盘：多种可视化和搜索的集合，可以很简单地应用于基于点击交互的过滤器，也能基于多种数据汇总获得结论

设置：配置索引模式、衍生字段、字段的数据类型等

适用于对索引数据进行交互式搜索查询。可以做基于字段的特定搜索、过滤数据、也可以查看索引好的文档

左侧：所有的索引模式

顶部：时间过滤器和搜索框

页面头部：基于


     @timestamp

字段的默认直方图；对应搜索结果的命中数

搜索结果：按时间倒序显示最新的500个文档

时间过滤器

快捷时间过滤器

相对时间过滤器

绝对时间过滤器

自动刷新设置

区域触发时间过滤器

查询和检索数据


     Kibana

使用


     Lucene

查询语法来搜索索引数据。你也可以在


     Elasticsearch

中使用


     Elasticsearch Query DSL

自由文本搜索

从所有文档的所有字段中查找搜索词

搜索语法： lucene.apache.org/core/8_5_2/query...

“Learning” AND “ELK”：搜索同时包含这两个单词的文档

“Logstash” OR “ELK”：包含Logstash或包含ELK的所有文档

“Logstash” NOT “ELK”：包含Logstash但不包含ELK的所有文档

(“Logstash” OR “ELK” AND “Kibana”)：包含Kibana并且包含ELK或者Logstash的所有文档

通配符搜索

plan*：将搜索所有形如plans、plant、planting等的文档

plan?：匹配plant、plans等文档

?和 ：?和 不能用作搜索条件的首字母

目的是搜索索引文档中特定值或特定范围的字段，这些字段都显示在搜索页面的左侧；以冒号连接字段和值

<字段名>:<字段值>

title : “Learning ELK”

title : “Learning ELK” AND category : “technology”

一般用于查询某个字段的取值范围，如搜索特定的日期范围

date_of_record : [20200101 TO 20200606]

查询


     volume

字段的取值在10000~20000之间的所有文档

volume : [10000 TO 20000]

范围搜索和字段搜索可以与布尔符合组合使用，如

publish_date : [20200101 TO 20200606] AND title : “Learning ELK”

特殊字符转义

以下是特殊字符列表，如果需要在查询中使用这些特殊字符，则要使用\符号进行转义

+ - && || ! ( ) { } [ ] ^ “ ~ * ? : \

使用搜索页面上的”


     save search

“选项可以把搜索保存起来并用于后面的可视化。已保存的搜索可以添加到仪表盘中

打开已保存搜索

搜索页面工具栏上的”


     Load Saved Search

“选项可以打开之前已保存的搜索

借助字段列表来搜索字段

可通过点击字段特定取值上的“正”或“负”过滤按钮来进行字段查询

也可点击左侧字段列表上字段名称旁的

add

按钮让右侧面板显示指定的字段。这样可以根据


     fdvd

右边的结果表中显示字段的值

通过这种方式快速添加字段，也可以根据特定字段分类文档，还可以按照做生意顺序排列字段。对于建立快速搜索的表格非常有帮助

本作品采用《CC 协议》，转载必须注明作者和本文链接