日誌系統ELK使用詳解(四)--kibana安裝和使用，elk--kibana

日誌系統ELK使用詳解(四)--kibana安裝和使用，elk--kibana
概述

日誌系統ELK使用詳解(一)–如何使用
日誌系統ELK使用詳解(二)–Logstash安裝和使用
日誌系統ELK使用詳解(三)–elasticsearch安裝
日誌系統ELK使用詳解(四)–kibana安裝和使用
日誌系統ELK使用詳解(五)–補充

這是這個小系列的最後一篇了，我們將看到如何安裝kibana，以及對ELK中的日誌資訊進行快速查詢。

kibana安裝

1.到官網下載kibana；
2.解壓縮；
3.修改設定檔kibana-5.3.0-darwin-x86_64/config/kibana.yml
開啟：

elasticsearch.url: "http://localhost:9200"

這是連結es的http地址，kibana自身伺服器預設的連接埠是5601.
4.控制台中運行./kibana，運行成功會看到如下資訊：

查看日誌內容

首次訪問的時候，需要添加一個index pattern，用來告訴kibana我們需要從es裡面搜尋哪些類型的索引。

裡面的index name or pattern不用改，因為logstash預設在es裡建立的索引就是logstash-*格式命名的。

Time-field name選擇 @timestamp，然後點擊建立。然後就會看到kibana把es裡面對應索引的所有欄位資訊都擷取過來了：

時間過濾器使用

要檢索資料，我們需要進入到Discover標籤頁面，先來熟悉時間過濾器，在頁面的右上方，點擊一下就可以展開選擇區了。用來選擇一個時間範圍內的資料。

這裡提供了三種設定方式：
1.快速的：可以快速的選擇一個到目前時間為止N天，N月，N年的時間段；
2.相對於現在的時間：可以更加細緻的設定第一種方式中的N值；
3.時間範圍：可以明確指定開始時間和結束時間。

選中一個時間段後，可以看到搜尋的結果分布和前500個結果的結果清單，以及左側的欄位列表、欄位值top5.

添加快速顯示欄位

在左側的欄位列表中，滑鼠滑動到某一個欄位，欄位右側會出現一個add按鈕，就是用來添加快速顯示欄位的。

快速顯示欄位是哪裡呢，就是頁面右側的日誌資訊列表，因為日誌資訊包含的欄位很多，預設只顯示了time和_source兩個欄位，如果我們想快速顯示path欄位怎麼辦？就需要用到添加快速顯示欄位的功能了。

關鍵字包含匹配

有時候我們會看到日誌中有很多介面的訪問日誌，如果我想看某一個特定介面的訪問日誌怎麼辦呢？

仍然需要在左側的欄位列表裡操作，首先點擊某個欄位，比如來源於哪個記錄檔（path），會看到列出的top5介面，而且每個介面旁邊有一個放大鏡和放小鏡。放大鏡就是用來增加包含匹配的，點擊之後僅顯示該欄位值的日誌。

關鍵字不包含匹配

欄位列表處的放小鏡就是用來設定不包含某個值了，比如我們只能看到top5，但是前幾項我不關心，那麼我們就可以把他排除掉，讓更多的日誌在top5能被看到，就需要這個功能了。

備忘：大家可能很多接觸es的人或者mongodb的讓你都記得前段時間的比特幣勒索，很多es和mongodb由於沒有設定密碼，庫中的資料都被刪除了。遺憾的是我們外網的一個es也被清洗了。所以如果自己的ELK是公網可以訪問的那麼最好給es設定一個使用者名稱密碼，讓資料更安全一些。

著作權聲明：本文為博主原創文章，未經博主允許不得轉載。