Kibana4簡單使用

<center>
# ELK日志系統使用說明 #
</center>


**k3與k4的對比**




1.界面美觀：Kibana4 至今未提供類似 Kibana3 中的 Query 設置功能，包括 Query 別名和顏色選擇器這兩個常用功能

2.日志顯示：kibana4有高亮顯示

3.頁面設計：Kibana3 就是一個圍繞着 dashboard 構建的單頁應用。在頁面邏輯上，Kibana3比較簡潔，Kibana4稍復雜。

<center>
##一、    系統介紹
</center>

 ELK（logstash+elasticsearch+kibana）是一套開源的實時日志分析系統。目前這套系統已經在小范圍內使用了。針對各位開發人員，無需關心系統底層的實現，只需關注kibana的使用即可。kibana4中，將功能拆分成了搜索（Discover），可視化（Visualize）和儀表盤(Dashboard)三個標簽，我們使用最多的地方即是搜索，目前就給大家主要介紹搜索頁面的使用。


<center>
##二、    kibana4的使用
</center>

  登錄入口：運維平台-->應用中心：ELK

  地址：https://op.zhubajie.la/

<center>
## 快速查詢項目日志
</center>
**選擇面板-->選擇項目**



首先選擇面板，搜索框輸入：tags:"項目名" 或host:"項目名" 即可查看對應項目的日志

<center>
## discover 功能 ##
</center>
Discover 標簽頁用於交互式探索你的數據。你可以訪問到匹配得上你選擇的索引模式的每個索引的每條記錄。你可以提交搜索請求，過濾搜索結果，然后查看文檔數據。你還可以看到匹配搜索請求的文檔總數，獲取字段值的統計情況。如果索引模式配置了時間字段，文檔的時序分布情況會在頁面頂部以柱狀圖的形式展示出來。

 

 **查看日志數據**


點擊日志內容中的小三角，查看日志詳細內容。
要在單獨的頁面上查看文檔內容，點擊鏈接。你可以添加書簽或者分享這個鏈接，以直接訪問這條特定文檔。

**1) 搜索數據**

在 Discover 頁提交一個搜索，你就可以搜索匹配當前索引模式的索引數據了。
當你提交搜索的時候，直方圖，文檔表格，字段列表，都會自動反映成搜索的結果。hits(匹配的文檔)總數會在直方圖的右上角顯示。

*在搜索框內輸入請求字符串*：

- **通配符**：用 ? 表示單字母，* 表示任意個字母。比如 fir?t mess*。

- **簡單的文本搜索**：直接輸入文本字符串。比如，如果你在搜索網站服務器日志，你可以輸入error 來搜索各字段中的 error單詞。

- **搜索特定字段的值**：則在值前加上字段名。比如 status:200 

- **范圍搜索**：對數值和時間，[START_VALUE TO END_VALUE]。比如，要查找 4xx 的狀態碼，status:[400 TO 499]。

- **多個檢索條件的組合**：可以使用 NOT, AND 和 OR 來組合檢索，**注意必須是大寫**。比如，要查找 4xx 的狀態碼，還是 php 或 html 結尾的數據， status:[400 TO 499] AND (extension:php OR extension:html)。其中，[] 表示端點數值包含在范圍內，{} 表示端點數值不包含在范圍內。

- 近似搜索：用 ~ 表示搜索單詞可能有一兩個字母寫的不對。比如 frist~；



**2)  設置時間過濾器**

默認的時間過濾器設置為最近 15 分鍾。你可以用頁面頂部的時間選擇器(Time Picker)來修改時間過濾器。
    
  

 **3)  日志索引設置**
  

- Nginx日志索引：[logstash-nginx-*]

- 服務化Nginx日志索引：[api-nginx-]YYYY.MM.DD

-  Java日志索引：[logstash-jetty-]YYYY.MM.DD

-  php日志索引：[logstash-php-*]
 
- mysql日志索引：[logstash-]YYYY.MM.DD

-  其他日志:[logstash-]YYYY.MM.DD （注：該索引為系統默認索引，需搜索其他日志，請按步驟改變索引即可)



**4) 保存搜索**

你可以在 Discover 頁加載已保存的搜索面板，也可以用作 visualizations 的基礎。保存一個搜索，意味着同時保存下了搜索請求字符串和當前選擇的索引模式。
<table>
<td>

保存當前搜索：
        1.點擊 Discover 工具欄的 Save Search 按鈕
        2.輸入一個名稱，點擊 Save。
    
    加載一個已存搜索：
    
        1.點擊 Discover 工具欄的 Load Search 按鈕 。
    
        2.選擇你要加載的搜索。
            如果已保存的搜索關聯到跟你當前選擇的索引模式不一樣的其他索引上，加載這個搜索也會切換當前的已選索引模式。
</td>


</table>

    
  **5) 改變你搜索的索引**

當你提交一個搜索請求，匹配當前的已選索引模式的索引都會被搜索。當前模式模式會顯示在搜索欄下方。要改變搜索的索引，需要選擇另外的模式模式。

要選擇另外的索引模式：

   (1).點擊 Discover 工具欄的 Settings 按鈕 。

   (2).從索引模式列表中選取你打算采用的模式。

 **6) 自動刷新頁面**

亦可以配置一個刷新間隔來自動刷新 Discover 頁面的最新索引數據。這回定期重新提交一次搜索請求。

設置刷新間隔后，會顯示在菜單欄時間過濾器的左邊。

要設置刷新間隔：

        1.點擊菜單欄右上角的 Time Filter 。
        2.點擊 Refresh Interval 標簽。
        3.從列表中選擇一個刷新間隔。
        要想自動刷新數據，點擊  Auto-refresh 按鈕然后選擇一個自動刷新間隔：

   

開啟自動刷新后，Kibana 的頂部欄會出現一個暫停按鈕和自動刷新的間隔。點擊 Pause 按鈕可以暫停自動刷新。

注：在使用過程中若有疑問，請聯系蔣挺。謝謝合作。