kibana简易教程

简介

kibana是ELK的组件之一，方便用户查询日志。

使用

登录界面

在浏览器输入kibana的服务ip:port，将进入到kibana的搜索主页，见图1。

图1

index pattern设置

可以通过Setting-->indices进入配置index搜索模板的界面，见图2和图3，可配置index搜索模板，该模板指出只搜索符合该模板的index，比如logstash-pass-gslb-*，则只搜索index名符合logstash-pass-gslb-*的index，index指的是elasticsearch上的index，注：如果已经有了index搜索模板，可直接选择相应的模板，见图4，系统已有一个通用模板logstash-*，但是针对每个业务还是希望能建立业务模板，这样查询速度更快，对Elasticsearch的压力也更小，模板命名是logstash-pass-svc_id-*，svc_id是业务id。

图2

图3

图4

基本设置

模板选好之后，可以设置一些参数，见图 5

图5

   该参数指出查询的日志所在的时间段，是否自动刷新。另外，默认只显示500条符合搜索条件的日志，可以通过Settings-->Advanced-->discover:sampleSize配置，见图6

图6

查询语法

搜索某个字段，比如tag字段，则可以在搜索框中输入tag:device.kiev.devicenew.kiev.log，表示搜索tag是device.kiev.devicenew.kiev.log的日志，可用通配符，tag:device.kiev.devicenew.*。可用复合查询，比如AND。OR。NOT操作符，比如tag:device.kiev.devicenew.kiev.log AND level:INFO，表示查找tag是device.kiev.devicenew.kiev.log且level字段是INFO的日志，还支持范围查询，比如status:[400 TO 499]，查询过程中可能出现没有结果的情况，请注意时间范围，可能是因为选取的时间范围内没有日志。再来一个较复杂的查询语句status:[400 TO 499] AND (extension:php OR extension:html)