本文作者:羅海鵬,叩丁狼高級講師。原創(chuàng)文章滥酥,轉(zhuǎn)載請注明出處。
匹配索引
我們在正式使用Kibana之前畦幢,需要先匹配我們Elasticsearch中的索引庫坎吻,因為我們的Elasticsearch有可能會有很多索引庫,Kibana為了性能因素宇葱,是不會事先把所有的索引庫都導進來的瘦真,我們需要用那個索引就導哪個索引。
按照如下步驟操作:Management >> Index Patterns >> Create Index Patterns 然后我們可以看到如下界面:
在index pattern輸入框中輸入索引庫黍瞧,可以使用模糊查詢的方式匹配诸尽,比如我們準備導入莎士比亞作品數(shù)據(jù),輸入“shak*”印颤,當匹配成功后您机,輸入框下方會出現(xiàn)一個成功的提示,并且右邊會出來一個Next step按鈕年局,點擊該按鈕進入下一步操作际看,然后點擊Create index pattern 完成匹配:
我們按照這種方式再匹配賬戶數(shù)據(jù)和日志數(shù)據(jù),但是匹配日志數(shù)據(jù)時需要注意:日志數(shù)據(jù)是按天來創(chuàng)建索引的矢否,那我們的日志測試數(shù)據(jù)有3天的日志仲闽,需要把這3天的測試數(shù)據(jù)一起導入經(jīng)歷,所以我們用一下字符來匹配測試日志數(shù)據(jù):
然后Kibana需要我們選擇一個時間字段僵朗,因為什么這3個索引是按照時間關(guān)聯(lián)的赖欣,我們選擇的時間字段是@timestamp。
那現(xiàn)在我們已經(jīng)把這3個類型的測試數(shù)據(jù)匹配到Kibana中了验庙,接下來就可以使用Kibana了
探索數(shù)據(jù)
點擊Discover菜單顶吮,打開Kibana的數(shù)據(jù)發(fā)現(xiàn)功能:
索引數(shù)據(jù)列表
可以看到,這個界面右邊列表粪薛,列出了莎士比亞作品測試數(shù)據(jù)云矫,如果我們想看其他索引數(shù)據(jù),可以左上角的下拉框中選擇,比如我們選擇了賬戶測試數(shù)據(jù)让禀,右邊列表就切換到賬戶測試數(shù)據(jù)了挑社。
搜索數(shù)據(jù)
在頁面的正下方,有一個查詢框用于搜索你的數(shù)據(jù)巡揍。搜索需要一個特定的查詢語法痛阻,而這個特定的語法就是Lucene的查詢語法,它們能讓你創(chuàng)建自己的搜索腮敌,點擊查詢框右邊的按鈕能保存這些搜索阱当。在查詢框的下方,當前的索引匹配模式顯示在一個下拉選中糜工,選擇下拉選以改變匹配模式弊添。你能用字段名和你感興趣的值構(gòu)建一個搜索,數(shù)字類型的數(shù)據(jù)可使用比較操作符比如>捌木、<油坝、=等,你可使用AND、OR刨裆、 NOT邏輯符連接元素澈圈,必須是大寫。
比如:account_number:<100 AND balance:>47500意思是查詢賬戶測試數(shù)據(jù)索引中的account_number小于100并且balance大于47500的數(shù)據(jù)帆啃,那么查詢出來的結(jié)果如下:
字段選擇
為了窄化顯示某些感興趣的字段瞬女,高亮索引模式匹配下面的列表中的字段,然后點擊Add按鈕努潘。在這個例子中诽偷,注意怎么實現(xiàn)的,添加一個account_number字段后改變界面顯示從5條記錄的完整文本到一個只有賬戶號碼的簡單列表疯坤。
數(shù)據(jù)可視化
點擊Visualize菜單报慕,進入可視化圖表創(chuàng)建界面,Kibana自帶有上10種圖表贴膘,下面我們來看看這些圖表的使用。
餅狀圖使用示例
點擊create visualize按鈕略号,然后點擊Pie圖表刑峡,在From a New Search, Select Index中選擇需要進行圖表分析的索引,比如我們使用使用用戶賬號的索引ban*玄柠,點擊了之后出現(xiàn)如下界面:
在該界面中突梦,我們看到了一個完整的餅圖,那是因為我們什么數(shù)據(jù)沒有沒有錄入羽利,那接下來我們錄入一些數(shù)據(jù)看看宫患。
在Select buckets type下拉列表中,選擇Split Slices这弧,然后在Aggregation下拉列表中選擇Range選項娃闲,在字段下拉列表中選擇balance字段虚汛,點擊Add Range按鈕4次把區(qū)間增加到6個,輸入一下區(qū)間皇帮。
1000-1999
2000-2999
3000-3999
4000-4999
5000-5999
6000-6999
點擊上方的綠色箭頭卷哩,出來以下界面:
該餅狀態(tài)顯示出了各個轉(zhuǎn)戶資金范圍的比例,除此之外属拾,我們還可以增加一個維度來做數(shù)據(jù)的分析:點擊add sub-buckets 選擇Split Slices将谊,然后在Aggregation下拉列表中選擇Terms選項,在字段下拉列表中選擇age字段渐白,然后點擊上方綠色箭頭按鈕尊浓,出來的結(jié)果如下:
以上的餅狀圖在原來的基礎(chǔ)上再加了一個外環(huán),表示在某個賬戶總額范圍的年齡統(tǒng)計纯衍。
同理栋齿,我們還可以再增加一維度,操作的方式跟上面一樣托酸,最后褒颈,如果有需要,還可以把這個圖表保存起來励堡,點擊右上角save連接即可谷丸,保存好了之后,下次再進入可視化界面的首頁应结,就可以看到之前保存過的圖形了刨疼。
條形圖使用示例
點擊create visualize按鈕,然后點擊Vertical Bar圖表鹅龄,在From a New Search, Select Index中選擇需要進行圖表分析的索引揩慕,比如我們使用使用莎士比亞作品集測試數(shù)據(jù)shak*,點擊了之后出現(xiàn)如下界面:
對于Y軸的刻度聚合扮休,在Aggregation下拉列表中選擇Unique Count選項迎卤,在字段下拉列表中選擇speaker字段。對于莎士比亞戲劇玷坠,知道那部戲劇需要最少數(shù)量的臺前幕后人員可能是很有用的蜗搔,如果你的戲劇公司短缺演員的話。對于X軸的量值八堡,選擇Terms聚合和play_name字段樟凄。對于排序,選擇Ascending兄渺,Size保持默認值5缝龄。讓其他參數(shù)保持默認值,然后點擊上方綠色箭頭,可以看到如下界面:
注意一下每部劇名是怎么顯示成一個完整的詞組而不是被拆分成單獨的單詞叔壤。這是我們在教程的前段部分設(shè)置映射的結(jié)果瞎饲,我們把play_name標記為 keyword,不會進行拆詞處理百新。鼠標移到每一個條上以tooltip形式顯示每個劇臺前幕后的數(shù)量企软。
既然你有了莎士比亞劇中最小的演員表,你可能感興趣知道這些劇本中哪一個對單個演員的要求最高饭望,通過顯示給定劇情的最大對話量仗哨。用Add metrics按鈕增加一個Y軸聚合,為speech_number選擇Max聚合铅辞⊙崞可以看到以下圖表:
地圖使用示例
點擊create visualize按鈕,然后點擊Coordinate Map斟珊,在From a New Search, Select Index中選擇需要進行圖表分析的索引苇倡,比如我們使用日志測試數(shù)據(jù)Logstash-2015*,點擊了之后出現(xiàn)如下界面:
此時囤踩,我們只看到一個地圖旨椒,但是地圖上面沒有任何數(shù)據(jù),因為我們還沒有設(shè)置任何值堵漱,而通過之前錄入的測試數(shù)據(jù)知道综慎,Logstash-2015包含3個索引,分別是Logstash-2015.5.18勤庐、Logstash-2015.5.19和Logstash-2015.5.20示惊,所以,我們在該地圖表最頂部愉镰,設(shè)置時間范圍米罚,點擊Absolute,選擇From為2015.5.18丈探,To為:2015.5.20录择,點擊Go按鈕:
然后設(shè)置數(shù)值,選擇Geo Coordinates碗降,然后在Aggregation下拉列表中選擇Geohash隘竭,F(xiàn)ield下拉列表中選擇geo coordinates,然后點擊上方綠色箭頭的按鈕遗锣,看到如下結(jié)果:
該圖表的結(jié)果就是根據(jù)每個數(shù)據(jù)經(jīng)緯度货裹,定位到該數(shù)據(jù)的所在地嗤形,并且同一個位置會統(tǒng)計個數(shù)精偿,圓點越大,說明該位置的數(shù)量越大,我們鼠標放上去可以看具體的經(jīng)緯度和數(shù)量笔咽。 那我們以這3個比較典型的圖表做例子搔预,其他圖表的使用方式大同小異,大家自行探索叶组。
儀表盤
點擊Dashboard菜單拯田,進入儀表盤創(chuàng)建界面。
一個Kibana儀表盤是許多圖表的集合甩十,它允許你整理和分享船庇,點擊Create a dashboard按鈕,再點擊Add按鈕侣监,顯示出已保存圖表的列表:
bar鸭轮、map和pic這3個圖表是我們上面學習圖表使用時保存的,圖表名是我們保存的時候取的名字橄霉,這時你點擊該列表的圖表名字窃爷,下方就會出現(xiàn)該圖表,可以把多個圖表放到一塊姓蜂,這就形式了我們說的儀表盤按厘,如下圖所示:
儀表盤中的圖表可以拖拽和放大縮小,比如我把上面的儀表盤變成了如下樣子钱慢,位置和大小改成這樣:
最后逮京,如果有需要,你可以保存該儀表盤滩字,點擊最上方的Save連接造虏,然后為儀表盤命名,我取名為my dashboard麦箍。你還可以通過點擊Share連接來顯示HTML嵌入代碼或者是一個定向鏈接分享一個保存的儀表盤漓藕。
想獲取更多技術(shù)視頻,請前往叩丁狼官網(wǎng):http://www.wolfcode.cn/openClassWeb_listDetail.html
