1、匹配索引
在正式使用Kibana之前,需要先匹配我们Elasticsearch中的索引库,因为我们的Elasticsearch有可能会有很多索引库,Kibana为了性能因素,是不会事先把所有的索引库都导进来的,我们需要用那个索引就导哪个索引。
按照如下步骤操作:Management >> Index Patterns >> Create Index Patterns 然后我们可以看到如下界面:
在index pattern输入框中输入索引库,可以使用模糊查询的方式匹配,比如我们输入“shak*”,当匹配成功后,输入框下方会出现一个成功的提示,并且右边会出来一个Next step按钮,点击该按钮进入下一步操作,然后点击Create index pattern 完成匹配:
我们按照这种方式再匹配账户数据和日志数据,但是匹配日志数据时需要注意:日志数据是按天来创建索引的,如果我们的日志测试数据有7天的日志,需要把这7天的测试数据一起导入经历,所以我们用一下字符来匹配测试日志数据:
然后Kibana需要我们选择一个时间字段,因为这7个索引是按照时间关联的,我们选择的时间字段是@timestamp。
2、Discover数据搜索
索引数据列表
可以看到,这个界面右边列表,列出了莎士比亚作品测试数据,如果我们想看其他索引数据,可以左上角的下拉框中选择,比如我们选择了账户测试数据,右边列表就切换到账户测试数据了。
搜索数据
在页面的正下方,有一个查询框用于搜索你的数据。搜索需要一个特定的查询语法,而这个特定的语法就是Lucene的查询语法,它们能让你创建自己的搜索,点击查询框右边的按钮能保存这些搜索。在查询框的下方,当前的索引匹配模式显示在一个下拉选中,选择下拉选以改变匹配模式。你能用字段名和你感兴趣的值构建一个搜索,数字类型的数据可使用比较操作符比如>、<、=等,你可使用AND、OR、 NOT逻辑符连接元素,必须是大写。
字段选择
为了窄化显示某些感兴趣的字段,高亮索引模式匹配下面的列表中的字段,然后点击Add按钮。在这个例子中,注意怎么实现的,添加一个account_number字段后改变界面显示从5条记录的完整文本到一个只有账户号码的简单列表。
3、Visualize数据可视化
Kibana自带有上10种图表,下面我们来看看饼状图表的使用。
饼状图使用示例
点击create visualize按钮,然后点击Pie图表,在From a New Search, Select Index中选择需要进行图表分析的索引,比如我们使用使用用户账号的索引ban*,点击了之后出现如下界面:
在该界面中,我们看到了一个完整的饼图,那是因为我们什么数据没有没有录入,那接下来我们录入一些数据看看。
在Select buckets type下拉列表中,选择Split Slices,然后在Aggregation下拉列表中选择Range选项,在字段下拉列表中选择balance字段,点击Add Range按钮4次把区间增加到6个,输入一下区间。
1000-1999
2000-2999
3000-3999
4000-4999
5000-5999
6000-6999
点击上方的绿色箭头,出来以下界面:
该饼状态显示出了各个转户资金范围的比例,除此之外,我们还可以增加一个维度来做数据的分析:点击add sub-buckets 选择Split Slices,然后在Aggregation下拉列表中选择Terms选项,在字段下拉列表中选择age字段,然后点击上方绿色箭头按钮,出来的结果如下:
以上的饼状图在原来的基础上再加了一个外环,表示在某个账户总额范围的年龄统计。
同理,我们还可以再增加一维度,操作的方式跟上面一样,最后,如果有需要,还可以把这个图表保存起来,点击右上角save连接即可,保存好了之后,下次再进入可视化界面的首页,就可以看到之前保存过的图形了。
4、Dashboard仪表盘
一个Kibana仪表盘是许多图表的集合,它允许你整理和分享,点击Create a dashboard按钮,再点击Add按钮,显示出已保存图表的列表:
bar、map和pic这3个图表是我们上面学习图表使用时保存的,图表名是我们保存的时候取的名字,这时你点击该列表的图表名字,下方就会出现该图表,可以把多个图表放到一块,这就形式了我们说的仪表盘,如下图所示:
仪表盘中的图表可以拖拽和放大缩小,比如我把上面的仪表盘变成了如下样子,位置和大小改成这样:
最后,如果有需要,你可以保存该仪表盘,点击最上方的Save连接,然后为仪表盘命名,我取名为my dashboard。你还可以通过点击Share连接来显示HTML嵌入代码或者是一个定向链接分享一个保存的仪表盘。
