日志系统ELK使用详解(四)--kibana安装和使用

概述

日志系统ELK使用详解(一)–如何使用 
日志系统ELK使用详解(二)–Logstash安装和使用 
日志系统ELK使用详解(三)–elasticsearch安装 
日志系统ELK使用详解(四)–kibana安装和使用 
日志系统ELK使用详解(五)–补充

这是这个小系列的最后一篇了,我们将看到如何安装kibana,以及对ELK中的日志信息进行快速查询。

kibana安装

1.到官网下载kibana; 
2.解压缩; 
3.修改配置文件kibana-5.3.0-darwin-x86_64/config/kibana.yml 
打开:

elasticsearch.url: "http://localhost:9200"
  • 1

这是链接es的http地址,kibana自身服务器默认的端口是5601. 
4.控制台中运行./kibana,运行成功会看到如下信息:

这里写图片描述

查看日志内容

首次访问的时候,需要添加一个index pattern,用来告诉kibana我们需要从es里面搜索哪些类型的索引。

这里写图片描述

里面的index name or pattern不用改,因为logstash默认在es里创建的索引就是logstash-*格式命名的。

Time-field name选择 @timestamp,然后点击创建。然后就会看到kibana把es里面对应索引的所有字段信息都获取过来了:

这里写图片描述

时间过滤器使用

要检索数据,我们需要进入到Discover标签页面,先来熟悉时间过滤器,在页面的右上角,点击一下就可以展开选择区了。用来选择一个时间范围内的数据。

这里提供了三种设置方式: 
1.快速的:可以快速的选择一个到当前时间为止N天,N月,N年的时间段; 
2.相对于现在的时间:可以更加细致的设置第一种方式中的N值; 
3.时间范围:可以明确指定开始时间和结束时间。

这里写图片描述

选中一个时间段后,可以看到搜索的结果分布和前500个结果的结果列表,以及左侧的字段列表、字段值top5.

这里写图片描述

添加快速显示字段

在左侧的字段列表中,鼠标滑动到某一个字段,字段右侧会出现一个add按钮,就是用来添加快速显示字段的。

快速显示字段是哪里呢,就是页面右侧的日志信息列表,因为日志信息包含的字段很多,默认只显示了time和_source两个字段,如果我们想快速显示path字段怎么办?就需要用到添加快速显示字段的功能了。

这里写图片描述

关键字包含匹配

有时候我们会看到日志中有很多接口的访问日志,如果我想看某一个特定接口的访问日志怎么办呢?

仍然需要在左侧的字段列表里操作,首先点击某个字段,比如来源于哪个日志文件(path),会看到列出的top5接口,而且每个接口旁边有一个放大镜和放小镜。放大镜就是用来增加包含匹配的,点击之后仅显示该字段值的日志。

这里写图片描述

关键字不包含匹配

字段列表处的放小镜就是用来设定不包含某个值了,比如我们只能看到top5,但是前几项我不关心,那么我们就可以把他排除掉,让更多的日志在top5能被看到,就需要这个功能了。

这里写图片描述

备注:大家可能很多接触es的人或者mongodb的让你都记得前段时间的比特币勒索,很多es和mongodb由于没有设置密码,库中的数据都被删除了。遗憾的是我们外网的一个es也被清洗了。所以如果自己的ELK是公网可以访问的那么最好给es设定一个用户名密码,让数据更安全一些。



########################################

转自:https://blog.csdn.net/buqutianya/article/details/72027209

阅读更多
个人分类: ELK
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭