Kibana的安装与使用

Kibana的安装与使用

• 简介

Kibana是一个针对Elasticsearch的开源分析及可视化平台，用来搜索、查看交互存储在Elasticsearch索引中的数据。

官方地址：https://www.elastic.co/cn/products/kibana

• 安装与配置

1、下载kibana

Kibana官方下载地址：https://www.elastic.co/cn/downloads/kibana

根据ElasticSearch版本及安装环境下载相应的Kibana安装包

也可使用wget命令直接下载

2、解压

3、配置kibana

#配置本机ip

server.host: "192.168.252.129"

#配置es集群url

elasticsearch.url: http://192.168.252.129:9200

更多配置信息参见官网：https://www.elastic.co/guide/cn/kibana/current/settings.html

4、启动

切换到kibana安装目录的bin目录下，执行kibana（命令使用&表示设置此进程为后台进程）

命令：  ./kibana &

成功启动后，可以访问：http:// 10.18.101.52:5601来访问kibana，ip为kibana安装节点ip，端口默认为5601，可以在config/kibana.yml中配置

也可以设置开机启动

在根目录下

cd /etc/systemd/system/

vi kibana.service

[Service]

ExecStart= kibana安装目录/bin/kibana

[Install]

WantedBy=multi-user.target

设置开机自启

systemctl enable kibana.service     

#开启服务

systemctl start kibana.service

#查看服务运行状态

systemctl status kibana.service

 

• 使用

1. 功能介绍

2.检查Kibana状态

可以通过 localhost:5601/status 来访问 Kibana 的服务器状态页，状态页展示了服务器资源使用情况和已安装插件列表。

3.连接Kibana和Elasticsearch

默认情况下，Kibana 会连接运行在 localhost 上的 Elasticsearch 实例。如果需要连接不同的 Elasticsearch实例，可以修改 kibana.yml 配置文件中的 Elasticsearch URL 配置项并重启 Kibana。任何时候都可以在 Management 页面增加索引模式。

创建索引

4.数据探索

4.1功能介绍

数据探索页面可以交互式地探索数据。可以访问与选定索引模式匹配的每个索引中的每个文档。可以提交搜索请求、过滤搜索结果、查看文档数据。还可以看到与搜索查询匹配的文档数，并获取字段值的统计信息。如果索引模式中配置了时间字段，还可以在这个页面的顶部看到基于时间分布的文档数量柱状图。

4.2字段筛选

每个匹配的文档默认显示所有字段。可以将鼠标悬停在可用字段上并点击您想要展示字段旁边的 add 按钮来添加需要展示的字段。

4.3设置刷新间隔时间

4.4搜索数据

• 直接输入文本字符串来进行简单文本搜索。例如，查询 Web 服务器日志的时候输入 safari 来搜索所有字段中包含词条 safari 的文档。
• 可以用字段名作为前缀来根据指定字段进行搜索。例如，输入 status:200 来搜索字段 status 中包含词条 200 的文档。
• 可以通过中括号指定范围搜索， [START_VALUE TO END_VALUE] 。例如，搜索状态为 4xx 的条目，您可以输入 status:[400 TO 499] 。
• 可以把感兴趣的字段名称和值当做搜索的条件，对于数字字段可以使用比较运算符，例如大于（>）、小于（<）或等于（=）。您可以使用逻辑运算符 AND，OR 和 NOT 连接搜索条件，这些运算符需要全部大写。如：

提交一次搜索请求后，直方图、文档列表、字段列表会按新的搜索结果来展示。

 

4.5设置时间过滤器

时间过滤器按照指定的时间段展示搜索结果。设置了 index contains time-based events 和 time-field 的索引模式可以使用时间过滤器。其他索引模式没有时间过滤器。

通过 Time Picker 设置时间过滤器：

点击 Kibana 工具栏中的 Time Picker time picker 。

可以通过点击一个时间段设置快速过滤。

可以基于当前时间来设置相对时间过滤器，点击 Relative 后选择数字和时间单位（秒、分、时、天、月、年）来指定当前时间多久之前是开始时间。也可以用同样的方式指定当前多久之后为结束时间。相对时间既可以是过往也可以是将来。

可以点击 Absolute ，通过修改 To 和 From 字段直接指定开始时间和结束时间。

4.6过滤器

添加过滤器

对于已添加的过滤器有一下五种功能

其中，固定过滤器表示当把上下文切换为其他索引时，被固定的过滤器仍然有效。例如，在 Discover 中固定一个过滤器，若切换至 Visualize，该过滤器仍然存在。请注意，过滤器是基于某个特定的索引字段——如果搜索的索引不包含固定过滤器中的字段，将不会生效。

4.7展示字段数据统计

通过 Fields 列表， 可以看到文档列表里面有多少文档包含特定的字段，这个字段排名前5的值是什么，包含每一个值的文档所占的百分比是多少。

5.可视化

可视化功能可以为 Elasticsearch 数据创建可视化控件。

5.1创建可视化视图

 

5.2支持的视图类型

基础图形
Line, Area and Bar charts	在X/Y图中比较两个不同的序列。
Heat maps	使用矩阵的渐变单元格。
Pie chart	显示每个来源的占比。
数据
Data table	显示一个组合聚合的原始数据。
Metric	显示单个数字。
地图
Coordinate map	把一个聚合结果关联到地理位置。
时间序列
Timelion	计算和合并来自多个时间序列数据集。
Time Series Visual Builder	使用管道聚合显示时间序列数据。
其他
Tag cloud	显示标签云，每个标签的字体大小表示其重要性。
Markdown widget	显示自由格式信息或说明。

5.3指标参数

指标聚合
Count	计数聚合返回所选索引模式中元素的原始计数。
Average	该聚合返回数字字段的​平均值 。
Sum	总和聚合返回数字字段的总和。
Min	最小值聚合返回数字字段的最小值。
Max	最大值聚合返回数字字段的最大值。
Unique Count	基数聚合返回字段中唯一值的数量。
Standard Deviation	扩展统计聚合返回数字字段中数据的标准偏差。
Percentiles	百分数聚合将数字字段中的值分成您指定的百分数区间。
Percentile Rank	百分位等级聚合返回指定的数值字段中的值的百分位等级。

父级管道聚合
Derivative	导数聚合计算特定指标的导数
Cumulative Sum	累计总和聚合计算父直方图中指定指标的累计总和。
Moving Average	移动平均值聚合将动态移动数据窗口，生成该窗口数据的平均值。
Serial Diff	串行差分是一种时间序列中的值在不同时间滞后或周期内从自身减去的技术。

兄弟管道聚合
Average Bucket	桶平均值计算同级聚合中指定指标的（中数）平均值
Sum Bucket	桶总和计算同级聚合中指定指标值的总和
Min Bucket	桶最小值计算同级聚合中指定指标的最小值
Max Bucket	桶最大值计算同级聚合中指定指标的最大值

更多参数可参考：https://www.elastic.co/guide/cn/kibana/current/xy-chart.html

 

5.4 面板设置

Legend Position

将图例移动到 left 、 right 、 top 或 bottom 。

Show Tooltip

启用或禁止显示鼠标悬停在图表对象上时的工具提示。

Current Time Marker

显示一条线表示当前时间。

 

6.仪表板

Kibana 仪表板展示保存的可视化结果集合。仪表板也可以展示服务器的性能信息。

6.1创建仪表板

7.开发者工具

7.1 控制台工具

控制台插件提供一个用户界面来和 Elasticsearch 的 REST API 交互。控制台有两个主要部分： editor，用来编写提交给 Elasticsearch 的请求； response面板，用来展示请求结果的响应。

控制台编辑器支持编写多个层叠的请求

控制台会依次提交请求到 Elasticsearch ，并将 Elasticsearch 返回的结果显示在右边窗口。

7.2历史记录

可以通过点击History按钮获取历史记录

7.3 Grok Debugger工具

grok是一种采用组合多个预定义的正则表达式，用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。可用Grok Debugger工具测试匹配能否成功。