Как использовать инструментальные панели и визуализации Kibana

  1. Вступление Kibana 4 - это платформа для аналитики и визуализации, основанная на Elasticsearch, чтобы...
  2. Обзор интерфейса Kibana
  3. Кибана Откройте для себя
  4. Синтаксис поиска
  5. Кибана визуализировать
  6. Создать вертикальную гистограмму
  7. Создать другую визуализацию
  8. Kibana Dashboard
  9. Создать панель инструментов
  10. Использовать панель инструментов
  11. Настройки Кибана
  12. Обновить данные поля
  13. Редактировать сохраненные объекты
  14. Заключение

Вступление

Kibana 4 - это платформа для аналитики и визуализации, основанная на Elasticsearch, чтобы дать вам лучшее понимание ваших данных. В этом руководстве мы познакомим вас с Kibana и покажем, как использовать его интерфейс для фильтрации и визуализации сообщений журнала, собранных в стеке Elasticsearch ELK. Мы рассмотрим основные компоненты интерфейса и покажем, как создавать поисковые запросы, визуализации и информационные панели.

Предпосылки

Это руководство является третьей частью серии « Централизованное ведение журналов с использованием Logstash и Kibana ».

Предполагается, что у вас есть рабочая настройка ELK. В примерах предполагается, что вы собираете системные журналы и журналы доступа Nginx. Если вы не собираете журналы такого типа, вы сможете изменить демонстрации для работы с собственными сообщениями журнала.

Если вы хотите точно следовать представленному руководству, выполните следующие настройки, выполнив первые два руководства из этой серии:

Когда вы будете готовы двигаться дальше, давайте посмотрим на обзор интерфейса Kibana.

Обзор интерфейса Kibana

Интерфейс Kibana разделен на четыре основных раздела:

  • Обнаружить
  • Визуализируйте
  • Приборная доска
  • настройки

Мы рассмотрим основы каждого раздела в указанном порядке и продемонстрируем, как можно использовать каждый элемент интерфейса.

Кибана Откройте для себя

При первом подключении к Kibana 4 вы попадете на страницу «Обнаружение». По умолчанию на этой странице будут отображаться все последние полученные журналы вашего стека ELK. Здесь вы можете отфильтровать и найти определенные сообщения журнала на основе поисковых запросов , а затем сузить результаты поиска до определенного временного диапазона с помощью фильтра времени .

Вот разбивка элементов интерфейса Kibana Discover:

  • Панель поиска: прямо под главным меню навигации. Используйте это для поиска определенных полей и / или целых сообщений
  • Фильтр времени: вверху справа (значок часов). Используйте это для фильтрации журналов по различным относительным и абсолютным временным диапазонам
  • Поле выбора: слева, под строкой поиска. Выберите поля, чтобы изменить, какие из них отображаются в представлении журнала
  • Гистограмма даты: гистограмма под строкой поиска. По умолчанию отображается количество всех журналов в зависимости от времени (по оси X), сопоставленных с помощью фильтра поиска и времени. Вы можете нажимать на столбцы или перетаскивать, чтобы сузить временной фильтр
  • Просмотр журнала: внизу справа. Используйте это для просмотра отдельных сообщений журнала и отображения данных журнала, отфильтрованных по полям . Если поля не выбраны, отображаются все сообщения журнала

Эта анимация демонстрирует некоторые из основных функций страницы Discover:

Вот пошаговое описание того, что выполняется:

  1. Выбрано поле «тип», которое ограничивает то, что отображается для каждой записи журнала (справа внизу) - по умолчанию отображается все сообщение журнала
  2. Поиск типа: "nginx-access", который соответствует только журналам доступа Nginx
  3. Расширен новейший журнал доступа Nginx, чтобы рассмотреть его более подробно

Обратите внимание, что результаты ограничены «Последние 15 минут». Если вы не получаете никаких результатов, убедитесь, что в указанный период времени были созданы журналы, соответствующие вашему поисковому запросу.

Сообщения журнала, которые собираются и фильтруются, зависят от ваших конфигураций Logstash и Logstash Forwarder. В нашем примере мы собираем журналы доступа syslog и Nginx и фильтруем их по типу. Если вы собираете сообщения журнала, но не фильтруете данные в отдельные поля, запрос к ним будет более сложным, поскольку вы не сможете запрашивать определенные поля.

Синтаксис поиска

Поиск обеспечивает простой и эффективный способ выбора определенного набора сообщений журнала. Синтаксис поиска довольно понятен и позволяет использовать логические операторы, подстановочные знаки и фильтрацию полей. Например, если вы хотите найти журналы доступа Nginx, созданные пользователями Google Chrome, вы можете выполнить поиск по типу: «nginx-access» И агент: «chrome». Вы также можете выполнять поиск по определенным хостам или диапазонам IP-адресов клиентов или любым другим данным, содержащимся в ваших журналах.

Создав поисковый запрос, который вы хотите сохранить, вы можете сделать это, щелкнув значок « Сохранить поиск», а затем кнопку « Сохранить» , как показано в этой анимации:

Создав поисковый запрос, который вы хотите сохранить, вы можете сделать это, щелкнув значок « Сохранить поиск», а затем кнопку « Сохранить» , как показано в этой анимации:

Сохраненные результаты поиска можно открыть в любое время, щелкнув значок « Загрузить сохраненный поиск» , и их также можно использовать при создании визуализаций.

Мы сохраним тип поиска «nginx-access» как «тип доступа nginx» и используем его для создания визуализации.

Кибана визуализировать

На странице визуализации Kibana вы можете создавать, изменять и просматривать свои собственные визуализации. Существует несколько различных типов визуализаций: от вертикальной гистограммы и круговых диаграмм до плиточных карт (для отображения данных на карте) и таблиц данных . Визуализациями также можно поделиться с другими пользователями, которые имеют доступ к вашему экземпляру Kibana.

Если вы впервые используете визуализации Kibana, вы должны перезагрузить список полей, прежде чем продолжить. Инструкции для этого описаны в подразделе « Обновить данные поля» под Настройки Кибана раздел.

Создать вертикальную гистограмму

Чтобы создать визуализацию, сначала щелкните элемент меню Визуализация .

Решите, какой тип визуализации вы хотите, и выберите его. Мы создадим вертикальную гистограмму , которая является хорошей отправной точкой.

Теперь вы должны выбрать источник поиска. Вы можете создать новый поиск или использовать сохраненный поиск. Мы перейдем к последнему методу и выберем тип поиска доступа nginx, который мы создали ранее.

Сначала график предварительного просмотра с правой стороны будет представлять собой сплошную полосу (при условии, что в результате поиска были найдены сообщения журнала), поскольку он состоит только из оси Y «Count». То есть он просто отображает количество журналов, которые были найдены по указанному поисковому запросу.

Чтобы сделать визуализацию более полезной, давайте добавим в нее несколько новых блоков .

Сначала добавьте сегмент оси X , затем откройте раскрывающееся меню « Агрегация» и выберите «Гистограмма даты». Если вы нажмете кнопку « Применить» , один столбец разделится на несколько столбцов вдоль оси X. Теперь счетчик отображается в виде нескольких столбцов, разделенных на интервалы времени (которые можно изменить, выбрав интервал из раскрывающегося списка) - аналогично тому, что вы увидите на странице «Обнаружение».

Если мы хотим сделать график немного более интересным, мы можем нажать кнопку Add Sub Aggregation . Выберите тип ковша Split Bars . Щелкните раскрывающееся меню «Подгруппа» и выберите «Существенные условия», затем щелкните раскрывающееся меню «Поле» и выберите «clientip.raw», затем щелкните поле « Размер» и введите «10». Нажмите кнопку Применить , чтобы создать новый график.

Вот скриншот того, что вы должны увидеть на этом этапе:

Вот скриншот того, что вы должны увидеть на этом этапе:

Если визуализируемые журналы были созданы по нескольким IP-адресам (т. Е. К вашему сайту обращаются несколько человек), вы увидите, что каждая полоса будет разделена на цветные сегменты. Каждый цветной сегмент представляет собой количество журналов, созданных по определенному IP-адресу (то есть для конкретного посетителя вашего сайта), и на графике будет отображаться до 10 различных сегментов (из-за настройки размера). Вы можете навести курсор мыши и щелкнуть любой из элементов на графике, чтобы перейти к конкретным сообщениям журнала.

Когда вы будете готовы сохранить визуализацию, щелкните значок « Сохранить визуализацию» вверху, затем назовите его и нажмите кнопку « Сохранить» .

Создать другую визуализацию

Прежде чем перейти к следующему разделу, где мы покажем, как создать панель мониторинга, вы должны создать хотя бы еще одну визуализацию. Попробуйте изучить различные типы визуализации.

Например, вы можете создать круговую диаграмму из ваших 5 самых популярных типов журналов. Для этого нажмите « Визуализация», затем выберите « Круговая диаграмма» . Затем используйте новый поиск и оставьте поиск как " " (т. Е. Все ваши журналы). Затем выберите * Разделить ломтики ** ведро. Щелкните раскрывающийся список « Агрегация» и выберите «Значимые условия», нажмите раскрывающийся список « Поле» и выберите «type.raw», затем щелкните поле « Размер» и введите «5». Теперь нажмите кнопку « Применить» и сохраните визуализацию как «Топ 5».

Вот скриншот настроек, которые были только что описаны:

Поскольку в нашем примере мы собираем только системные журналы и журналы доступа Nginx, на круговой диаграмме будет только два среза.

Закончив создание визуализаций, давайте перейдем к созданию панели управления Kibana.

Kibana Dashboard

На странице панели инструментов Kibana вы можете создавать, изменять и просматривать свои собственные панели мониторинга. С помощью панели мониторинга можно объединить несколько визуализаций на одной странице, а затем отфильтровать их, предоставив поисковый запрос или выбрав фильтры, щелкнув элементы в визуализации. Панели мониторинга полезны, когда вы хотите получить обзор ваших журналов и сделать корреляции между различными визуализациями и журналами.

Создать панель инструментов

Чтобы создать панель управления Kibana, сначала щелкните элемент меню « Панель управления» .

Если вы ранее не создавали панель мониторинга, вы увидите в основном пустую страницу с надписью «Готовы начать?». Если вы не видите этот экран (то есть на панели инструментов уже есть визуализации), нажмите значок « Новая панель» (справа от панели поиска), чтобы попасть туда.

Эта анимация демонстрирует, как можно добавить визуализации на панель инструментов:

Вот разбивка шагов, которые выполняются:

  1. Нажмите значок Добавить визуализацию
  2. Добавлена ​​круговая диаграмма "Log Counts" и гистограмма "Nginx: 10 лучших IP-адресов клиентов"
  3. Свернуто меню Добавить визуализацию
  4. Переупорядочил и изменил размеры визуализаций на приборной панели
  5. Нажал значок Сохранить панель инструментов

Выберите имя для своей панели инструментов перед сохранением.

Это должно дать вам хорошее представление о том, как создать панель управления. Идите вперед и создайте любые информационные панели, которые, по вашему мнению, могут вам понадобиться. Далее мы рассмотрим использование инструментальных панелей.

Использовать панель инструментов

Панели мониторинга можно отфильтровать, введя поисковый запрос, изменив временной фильтр или щелкнув элементы в визуализации.

Например, если вы щелкнете по определенному цветному сегменту в гистограмме, Kibana позволит вам отфильтровать значимый термин, который представляет сегмент. Вот пример скриншота применения фильтра к панели инструментов:

Вот пример скриншота применения фильтра к панели инструментов:

Не забудьте нажать кнопку « Применить сейчас», чтобы отфильтровать результаты и перерисовать визуализации панели управления. Фильтры могут быть применены и удалены по мере необходимости.

Фильтры поиска и времени работают так же, как и на странице «Обнаружение», за исключением того, что они применяются только к подмножествам данных, представленным на панели мониторинга.

Настройки Кибана

Страница настроек Kibana позволяет вам изменять различные вещи, такие как значения по умолчанию или шаблоны индексов. В этом уроке мы будем просты и сосредоточимся на разделах Индексы и Объекты .

Обновить данные поля

Когда вы добавляете новые поля в свои данные Logstash, например, если вы добавляете фильтр для нового типа журнала, вам может потребоваться перезагрузить список полей. Необходимо перезагрузить список полей, если вы не можете найти отфильтрованные поля в Kibana, так как эти данные кэшируются только периодически.

Для этого щелкните пункт меню « Настройки» , затем нажмите «logstash- *» (в разделе « Шаблоны индексов» ):

Для этого щелкните пункт меню « Настройки» , затем нажмите «logstash- *» (в разделе « Шаблоны индексов» ):

Затем нажмите желтую кнопку « Обновить список полей» . Нажмите кнопку ОК , чтобы подтвердить.

Редактировать сохраненные объекты

Раздел «Объекты» позволяет редактировать, просматривать и удалять любые сохраненные панели мониторинга, поиски и визуализации.

Чтобы попасть туда, нажмите на пункт меню « Настройки» , затем на подменю « Объекты» .

Здесь вы можете выбрать из вкладок, чтобы найти объекты, которые вы хотите редактировать, просматривать или удалять:

На скриншоте мы выбрали дубликат визуализации. Его можно отредактировать, просмотреть или удалить, нажав соответствующую кнопку.

Заключение

Если вы следовали этому руководству, у вас должно быть хорошее понимание того, как использовать Kibana 4. Вы должны знать, как искать сообщения в журнале и создавать визуализации и информационные панели.

Не забудьте проверить следующий урок в этой серии, Как сопоставить местоположение пользователя с GeoIP и ELK

Если у вас есть какие-либо вопросы или предложения, пожалуйста, оставьте комментарий!

Если вы ранее не создавали панель мониторинга, вы увидите в основном пустую страницу с надписью «Готовы начать?
О школе
О школе

О школе

Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6.
История

История

Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по
Похожие новости /   Комментарии

    Обновления сайта

    Здравствуйте. Сегодня наконец то мы обновили наш сайт. Теперь на сайте доступны библиотеки для чтения, Вы всегда можете задать вопрос администратору сайта. Получить консультацию на все интересующие вопросы. Ознакомится с новыми событиями и новостями. В дальнейшем сайт будет наполнятся свежими новостями и статьями.

    О школе

    Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6. Полное название- Средняя школа №18 с углублённым изучением английского языка Директор: Шевелёва Надия Магсутовна. Научный руководитель: Русинова Сазида Исмагиловна,

    История

    Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по эволюционному пути, избегая резких преобразований, опасных в этой системе человеческой деятельности. С этой целью 7 лет школа работала в условиях экспериментальной площадки, где