Kibana也是一个开源和免费的工具,他可以帮助您汇总、分析和搜索重要数据日志并提供友好的web界面。他可以为Logstash 和ElasticSearch 提供日志分析的Web界面
它是一个基于浏览器页面的ES前端展示工具,是为ES提供日志分析的web接口,可用它对日志进行高效的搜索、可视化、分析等操作。Kibana全部使用HTML语言和JavaScript编写的,提供了Marvel监控的UI界面。Kibana是一个与ES以前工作的开源分析、可视化平台,使用Kibana可以查询、查看并与存储在ES索引的数据进行交互操作,使用Kibana能执行高级的数据分析,并能以图表、表格和地图的形式查看数据。Kibana使得理解大容量的数据变得非常容易,他非常简单,基于浏览器的接口使我们能够快速的创建和分享显示ES查询结果实时变化的仪表盘。最吸引人的地方应该是它的图标和表现能力吧。
官网下载地址:https://www.elastic.co/downloads/kibana
使用RPM包安装方式:
# wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpm
配置文件位于/opt/kibana/config/
日志文件位于/var/log/kibana/
默认连接的是本机elasticsearch,可在配置文件中修改 elasticsearch.url: "http://10.0.10.40:9200"
然后启动kibana服务:
# /etc/init.d/kibana start
默认占用5601端口,可通过http://[ip]:5601在浏览器访问
初次进入需要至少创建一个索引模板,这个是对应elasticsearch中的索引;
默认给的是logstash-*,配置学习logstash时的测试数据直接在这里使用,所以直接点击页面的create按钮即可
创建好索引模板后,在Discover,左边选择所以logstash-*,右上角选择时间,就可以看到日志了,左边可以选择要显示的列
在Discover中上方的搜索框中输入查询公式进行查询,基本语法有:
直接在搜索框输入关键字,所有字段只要包括就会被匹配,比如输入一串手机号码;
如果是短语则需要用双引号,中文的话因为它不会分词,两个及以上中文都算短语:
"hello world""中文"
可以用冒号指定某个字段包含某些关键字,field:value,当然短语还是需要用引号:
level:ERRORlevel:"错误"
非、与、或:
NOT level:ERROR source:"logstash.log" AND level:ERROR level:WARN OR level:ERROR
组合用小括号:
(source:"logstash.log" OR source:"filebeat.log") AND level:ERROR
必须包含、不可包含:
+ 必须包含 - 不可包含 source:(+"logstash.log" -"2016-12-15") #必须来自logstash,但不要12-15的
数字的范围(count类型必须是数字):
count:[1 TO 2] #1 ~ 2
通配符,跟常用的一致:
? 匹配单个字符 * 匹配0到多个字符
按IP访问量前五名进行统计图示例子:http://www.cnblogs.com/fengjian2016/p/5935270.html
转载于天宇骑士