搭建ELK(ElasticSearch+Logstash+Kibana)日志分析系统（十二） kibana 界面使用简介

摘要

这一节，我们介绍一下kibana界面的标签和设置。kibana的界面菜单栏主要有六项，这里我主要介绍其中一些我用过的。



1、Discover功能 —— 查看当前索引下的所有数据、搜索过滤数据

Discover 标签页用于交互式探索你的数据。你可以访问到匹配得上你选择的索引模

式的每个索引的每条记录。你可以提交搜索请求，过滤搜索结果，然后查看文档数

据。你还可以看到匹配搜索请求的文档总数，获取字段值的统计情况。如果索引模

式配置了时间字段，文档的时序分布情况会在页面顶部以柱状图的形式展示出来。

1）设置时间过滤器

时间过滤器(Time Filter)限制搜索结果在一个特定的时间周期内。如果你的索引包含

的是时序诗句，而且你为所选的索引模式配置了时间字段，那么就就可以设置时间

过滤器。

默认的时间过滤器设置为最近 15 分钟。你可以用页面顶部的时间选择器(Time

Picker)来修改时间过滤器，或者选择一个特定的时间间隔，或者直方图的时间范

围。如下图：



时间过滤器主要有三种类型：

快速过滤，直接选择一个短链接即可

相对时间过滤，点击 Relative 然后输入一个相对的开始时间。可以是任意数字的秒、分、小时、天、月甚至年之前

绝对时间过滤，点击 Absolute 然后在 From 框内输入开始日期，To 框内输入结束日期

点击时间选择器底部的箭头隐藏选择器

2）搜索数据

在 Discover 页提交一个搜索，你就可以搜索匹配当前索引模式的索引数据了。你可以直接输入简单的请求字符串，也就是用 Lucene query syntax，也可以用完整的基于 JSON 的 Elasticsearch Query DSL。具体语法我们将在下一节介绍。搜索界面如下图：



当你提交搜索的时候，直方图，文档表格，字段列表，都会自动反映成搜索的结果。hits(匹配的文档)总数会在直方图的右上角显示。文档表格显示前 500 个匹配文档。文档默认倒序排列，最新的文档最先显示。你可以通过点击时间列的头部来反转排序。

特别地：

要清除当前搜索或开始一个新搜索，点击 Discover 工具栏的 New Search 按钮

要保存当前搜索：

点击 Discover 工具栏的 Save Search 按钮。

输入一个名称，点击 Save

要加载一个已保存的搜索：

点击 Discover 工具栏的 Load Search 按钮。

选择你要加载的搜索。

如果已保存的搜索关联到跟你当前选择的索引模式不一样的其他索引上，加载这个搜索也会切换当前的已选索引模式

改变你搜索的索引，点击下图的小三角，展开后可以更换索引



3）按字段过滤

你可以过滤搜索结果，只显示在某字段中包含了特定值的文档。也可以创建反向过

滤器，排除掉包含特定字段值的文档。

要从字段列表添加过滤器：

点击你想要过滤的字段名。会显示这个字段的前 5 名数据。每个数据的右侧，有两个小按钮 —— 一个用来添加常规(正向)过滤器，一个用来添加反向过滤器。

要添加正向过滤器，点击 Positive Filter 按钮 。这个会过滤掉在本字段不包含这个数据的文档。

要添加反向过滤器，点击 Negative Filter 按钮 。这个会过滤掉在本字段包含这个数据的文档。

要从文档表格添加过滤器：

点击表格第一列(通常都是时间)文档内容左侧的 Expand 按钮 展开文档表格中的文档。每个字段名的右侧，有两个小按钮 —— 一个用来添加常规(正向)过滤器，一个用来添加反向过滤器。

要添加正向过滤器，点击 Positive Filter 按钮 。这个会过滤掉在本字段不包含这个数据的文档。

要添加反向过滤器，点击 Negative Filter 按钮 。这个会过滤掉在本字

discover功能段包含这个数据的文档。

4）过滤器(Filter)的协同工作方式

在 Kibana 的任意页面创建过滤器后，就会在搜索输入框的下方，出现椭圆形的过滤条件。鼠标移动到过滤条件上，会显示下面几个图标：







5）查看文档数据

当你提交一个搜索请求，最近的 500 个搜索结果会显示在文档表格里。你可以在Advanced Settings 里通过 discover:sampleSize 属性配置表格里具体的文档数量。默认的，表格会显示当前选择的索引模式中定义的时间字段内容(转换成本地时区)以及 _source 文档。你可以从字段列表添加字段到文档表格。还可以用表格里包含的任意已建索引的字段来排序列出的文档。要查看一个文档的字段数据，点击表格第一列(通常都是时间)文档内容左侧的Expand（三角形） 按钮 。Kibana 从 Elasticsearch 读取数据然后在表格中显示文档字段。这个表格每行是一个字段的名字、过滤器按钮和字段的值。



要查看原始 JSON 文档(格式美化过的)，点击 JSON 标签。

要在单独的页面上查看文档内容，点击链接。你可以添加书签或者分享这个链

接，以直接访问这条特定文档。

收回文档细节，点击 Collapse 按钮 。

要切换文档表中的特定字段列，请单击“表”按钮中的“切换”列

6）文档列表操作

文档列表排序

要改变排序方式：点击想要用来排序的字段名。能用来排序的字段在字段名右侧都有一个排序按钮。再次点击字段名，就会反向调整排序方式。

给文档表格添加字段列

默认的，文档表格会显示当前选择的索引模式中定义的时间字段内容(转换成本地时区)以及 _source 文档。你可以从字段列表添加字段到文档表格。

要添加字段列到文档表格：

从字段列表中添加一列，移动鼠标到字段列表的字段上，点击它的 add 按钮

从文档的字段数据添加一列，展开对应的文档后点击字段的 Toggle

column in table 按钮discover功能添加的字段会替换掉文档表格里的 _source 列。同时还会显示在字段列表顶部的Selected Fields 区域里。

要重排表格中的字段列，移动鼠标到你要移动的列顶部，点击移动过按钮。



从文档表格删除字段列

移动鼠标到字段列表的 Selected Fields 区域里你想要移除的字段上，然后点击它的 remove 按钮 。

重复操作直到你移除完所有你想移除的字段。

查看字段数据统计

从字段列表，你可以看到文档表格里有多少数据包含了这个字段，排名前 5的值是什么，以及包含各个值的文档的占比。要查看字段数据统计，在字段列表中点击对应的字段名即可。



要基于这个字段创建可视化，点击字段统计下方的 Visualize 按钮。

2、Visualize —— 通过相应可视化类型对数据设计可视化并展示图表

Visualize 标签页用来设计可视化。你可以保存可视化，以后再用，或者加载合并到 dashboard 里。一个可视化可以基于以下几种数据源类型：

一个新的交互式搜索

一个已保存的搜索

一个已保存的可视化

创建一个新可视化

要开始一个 Create New Visualization 向导，点击页面左侧边栏的 Visualize 标签。

第 1 步: 选择可视化类型

在 New Visualization 向导起始页可以选择以下一个可视化类型：



你也可以加载一个你之前创建好保存下来的可视化。已存可视化选择器包括一个文

本框用来过滤可视化名称，以及一个指向 对象编辑器(Object Editor) 的链接，可

以通过 Settings > Edit Saved Objects 来管理已存的可视化。

第 2 步: 选择数据源

你可以选择新建或者读取一个已保存的搜索，作为你可视化的数据源。搜索是和一

个或者一系列索引相关联的。如果你选择了在一个配置了多个索引的系统上开始你

的新搜索，从可视化编辑器的下拉菜单里选择一个索引模式。

当你从一个已保存的搜索开始创建并保存好了可视化，这个搜索就绑定在这个可视

化上。如果你修改了搜索，对应的可视化也会自动更新。

第 3 步: 可视化编辑器

可视化编辑器用来配置编辑可视化。它有下面几个主要元素：

工具栏(Toolbar)

工具栏上有一个用户交互式数据搜索的搜索框，用来保存和加载可视化。因为可视化是基于保存好的搜索，搜索栏会变成灰色。要编辑搜索，双击搜索框，用编辑后的版本替换已保存搜索。

聚合构建器(Aggregation Builder)

用页面左侧的聚合构建器配置你的可视化要用的 metric 和 bucket 聚合。桶(Buckets) 的效果类似于 SQL GROUP BY 语句。

在条带图或者折线图可视化里，用 metrics 做 Y 轴，然后 buckets 做 X 轴，条带颜色，以及行/列的区分。在饼图里，metrics 用来做分片的大小，buckets 做分片的数量。

预览画布(Preview Canvas)

预览 canvas 上显示你定义在聚合构建器里的可视化的预览效果。要刷新可视化预览，点击工具栏里的 Refresh。



3、Dev Tools（console）功能 —— 与Elasticsearch交互

5.0 版本以后，原先归属在 Marvel 中的 Sense 插件，被改名为 Kibana console 应用，在 5.0 版本中默认随 Kibana 分发。console 应用的操作界面和原先的 sense 几乎一模一样，如下图



控制台插件提供了一个UI来与Elasticsearch的REST API进行交互。

控制台以类似cURL的语法理解命令。例如下面的控制台命令

GET / _search
{ “query” ：{ “match_all” ：{} } }

是一个简单的GET请求Elasticsearch的_search API。这是cURL中的等效命令。

curl -XGET "http://localhost:9200/_search" -d'
{
"query": {
"match_all": {}
}
}'

一旦在左窗格中输入命令，可以通过点击请求的URL行旁边出现的小绿色三角形将其提交到Elasticsearch。



响应回来后，可以在右侧面板中看到：



4、Management功能 —— Kibana运行时配置

包括初始设置和索引模式的正在进行的配置，调整Kibana本身的行为的高级设置以及可以在Kibana中保存的各种“对象”，例如搜索，可视化和仪表板。



1、Index Patterns功能

点击Index Patterns可以常见索引，如下图：



一般输入索引名称，时间过滤器即可，Kibana查找与指定模式匹配的索引名称。模式中的星号（*）匹配零个或多个字符。例如，该模式myindex-*匹配名称开头的所有索引myindex-，例如myindex-1和myindex-2。



创建成功之后，可以选择某一个索引，并对该索引的某一个字段的格式进行设置，并且在右上角可以设置默认索引、删除索引等



2、Saved Objects功能

在这里可对保存的dashboard、Searches、各visualizations进行编辑和导出，以及导入其他数据。

3、Advanced Settings功能

在高级设置页面，可以直接编辑控制Kibana应用程序的行为设置。例如，您可以更改用于显示日期的格式，指定默认索引模式，并设置显示十进制值的精度。

设置高级选项：

1、点击Advanced Settings

2、单击要修改的选项的Edit按钮

3、输入该选项的新值

3、单击保存按钮

搞定收工！