提供: ZStack云计算
教程本教程是使用ELK堆栈(Elasticsearch、Logstash、Kibana )在Ubuntu 14.04中实现集中式记录系列的五篇中的四篇。
本教程也是在CentOS 7中使用Logstash和Kibana实现集中化记录系列的5篇中的4篇。
内容介绍Kibana 4是建立在Elasticsearch之上的分析和可视化平台,旨在帮助用户更好地理解数据。 本教程考虑如何从Kibana开始,通过界面过滤和可视化在ELasticsearch ELK堆栈中收集的日志消息。 我们将讨论几个主要的界面组件,以了解如何搜索、可视化和创建仪表板。
前提条件此处假设已有ELK设置,可以收集每个syslog和Nginx访问日志。
要遵循本教程中的说明,必须首先完成以下设置:
负责收集syslog的ELK堆栈:如何在Ubuntu 14.04上安装Elasticsearch、Logstash和Kibana 4Nginx以负责日志和筛选:为了改进集中式日志记录机制
Kibana界面概述Kibana的界面分为四个主要部分:
Discover(visualize )可视化(Dashboard )仪表板) Settings )设置) Kibana Discover )第一次接触Kibana 4时,大家看到的第一个发现页面默认情况下,此页面显示ELK堆栈最近接收到的所有日志。 在此,您可以使用Search Queries过滤和搜索特定日志消息,并使用Time Filter指定时间段以减少搜索结果的数量。
让我们看一下Kibana Discover接口的各个元素。
Search Bar:位于主导航菜单下,用于搜索特定字段和/或完整消息。 Time Filter:右上角的时钟图标用于基于不同的相对和绝对时间段在Field Selector:左侧的搜索栏下应用日志过滤器。 选择Log View中显示的字段,以更改Date Histogram:搜索栏下的条形图。 默认情况下,将显示所有日志计数和时间(x轴),并且搜索条件与时间筛选条件匹配。 您可以单击或拖动此栏以缩小时间过滤的范围。 Log View:界面的右下角用于显示每个日志消息以及基于fields过滤的日志数据。 如果未选择fields,将显示完整的日志消息。 以下动画显示了此页面的主要功能。
在此,对其操作进行说明。
如果选择" type "字段,则系统会将每个日志记录的显示限制为——,并在缺省情况下显示完整消息。 搜索type: “Nginx-access”仅与nginx访问日志匹配。 展开最近的Nginx访问日志以查看详细信息。 请注意,所有退出都仅限于“最近15分钟”。 如果未获得任何结果,请确保与搜索查询匹配,并且在指定时间段内存在生成的日志。
日志消息的收集和过滤方法取决于日志状态和日志状态转发程序的配置。 本示例收集syslog和Nginx访问日志,并按" type "进行筛选。
语法搜索功能允许您以简单而强大的方式选择日志消息中的特定子集。 搜索语法非常坦率,支持布尔运算符、通配符和字段过滤器。 例如,如果要搜索Googlechrome用户生成的Nginx访问日志,请使用type : " nginx-access " and agent : " chrome "。 此外,搜索条件还支持特定主机、客户端IP地址范围或其他日志中包含的数据。
创建需要保留的搜索查询后,可以单击“Save Search”图标,然后单击“Save”按钮,如动画所示。
您可以随时单击“加载保存的搜索”图标打开保存的搜索。
在此,我们将type: “nginx-access”搜索保存为“type nginx access”,并使用它来创建一组可视化结果。
使用“Kibana Visualize Kibana Visualize”页可以创建、修改和查看定制的可视结果。 它包括多种显示类型,包括条形图、饼图、用于在地图上显示数据的活动地图和数据表。 也可以与访问Kibana实例的其他用户共享结果。
如果您还不熟悉Kibana可视化方案,请参阅Kibana设置以查看命令。
要创建垂直条形图,请首先单击Visualize菜单项。
确定所需的可视化类型后,选定它。 在此处创建垂直条形图,即垂直条形图。
选择搜索源。 您可以创建新搜索,也可以直接使用保存的搜索。 在此选择后一种方法,然后选择以前创建的type nginx access搜索。
假定搜索中找到了相应的日志消息,则右侧的预览图像将显示大的条纹,因为y轴仅包含Count。
为了使结果更有意义,我们将进行进一步的调整。
首先添加x轴,然后单击“对齐”下拉菜单
单并选择“Date Histogram”。如果大家点击Apply按钮,则刚才的条形将被拆分为多个沿X轴排布的柱体。现在计数已经按时间进行分隔(可以通过下拉菜单设定需要的时间间隔),并在Discover页面中供用户查看。如果我们希望让图形更为有趣,则可以点击Add Sub Aggregation按钮。选定Split Bars类型,点击Sub Aggregation下拉菜单并选定”Significant Terms”,而后是Field下拉菜单中的“clientip.raw”,最后点击Size字段并输入“10”。按下Apply按钮以创建新图形。
以下为生成结果的截屏:
如果图形按照多个IP地址进行可视化处理,则可看到每个柱状图形皆被拆分为彩色部分。每个彩色段表示某特定IP地址生成的日志数量,而图形可最多显示10种不同分段(具体取决于Size设定)。大家可以将鼠标悬停于其上,并点击图形中的条目以深入查看特定日志消息。
构建完成后,点击Save VIsualization图标保存可视结果,而后为其命名再点击Save按钮。
创建另一可视结果为了进入下一议题,即仪表板,我们至少需要两套可视结果。
大家可以借此机会尝试其它可视类型,例如将计数最高的5条日志“types”汇总为饼状图。点击Visualize并选定Pie chart。而后使用新搜索,将搜索保留为“_”(即全部日志)。而后选定_Split Slices*。点击Aggregation下拉菜单再选定“Significant Terms”,点击Field下拉菜单选定“type.raw”,而后点击Size字段并输入“5”。现在点击Apply按钮并将此可视结果保存为“Top 5”。
以下为该设置的显示结果:
在本示例中,由于我们只收集syslog与Nginx访问日志,因此该饼状图只分为两块。
Kibana DashboardKibana Dashboard页面用于创建、修改及查看我们的定制化仪表板。在仪表板中,我们可以将多套可视结果整合至单一页面内,而后提供搜索查询或者点击可视结果内的某元素指定过滤条件,从而实现结果过滤。仪表板能够帮助我们更全面地了解总体日志内容,并将各可视结果同日志关联起来。
创建仪表板要创建一套Kibana仪表板,我们首先点击Dashboard菜单选项。
如果此前尚未创建仪表板,大家会看到空白页面,其中提示“Ready to get started?”如果未看到此屏幕,则证明已经存在已有仪表板。这时点击New Dashboard图标(搜索栏右侧)。
以下动画显示了如何向仪表板内添加可视结果:
下面分步进行解释:
点击Add Visualization图标添加”Log Counts”饼状图与”Nginx: Top 10 client IP”直方图收回 Add Visualization菜单重新排布并调整仪表板上的可视结果点击Save Dashboard图标保存时为这套仪表板设定一个名称。
使用仪表板我们可以输入一条搜索查询、变更时间过滤条件或者点击可视结果内的元素对仪表板进行进一步过滤。
例如,如果我们点击此直方图内的特定彩色区段,Kibana亦允许大家针对该区段所代表的特定含义进行过滤。以下截屏为使用过滤条件后的仪表板:
请确保点击Apply Now按钮进行结果过滤并重绘仪表板可视结果。过滤条件可根据需要进行应用与移除。
Kibana SettingsKibana Settings页面允许大家对各类条目进行变更,包括默认值与索引模式。在本教程中,我们只谈谈Indices与Objects两部分。
重载字段数据在向Logstash数据内添加新字段时,例如为新日志类型添加过滤条件,大家可能需要重载字段列表。另外,如果大家无法找到过滤后的字段,也可尝试重载。
点击Settings菜单选项并点击”logstash-*”:
而后点击黄色的Reload Field List按钮,最后按OK按钮确认。
编辑已保存的ObjectsObjects允许大家对已经保存的仪表板、搜索以及可视结果进行编辑、查看与删除。
要实现操作,点击Settings菜单,而后选定Objects子菜单。
在这里,大家可以选定标签以找到需要编辑、查看或删除的对象:
在截屏中可以看到,我们已经选定了一项重复的可视结果。按下对应按钮即可完成编辑、查看或者删除操作。
总结在本教程中,大家已经掌握了如何使用Kibana 4。另外,大家也了解了如何搜索日志消息以及创建可视化结果与仪表板。
本文来源自DigitalOcean Community。英文原文:How To Use Kibana Dashboards and Visualizations By Mitchell Anicas
翻译:diradw