來自官網,版本為4.5
下載rpm包並安裝
wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpm
rpm -ivh kibana-4.5.4-1.x86_64.rpm
配置文件位於/opt/kibana/config/
日志文件位於/var/log/kibana/
默認連接的是本機elasticsearch,可在配置文件中修改,這里不用修改,直接啟動
/etc/init.d/kibana start
默認占用5601端口,可通過http://[ip]:5601在瀏覽器訪問
初次進入需要至少創建一個索引模板,這個是對應elasticsearch中的索引;
默認給的是logstash-*,配置學習logstash時的測試數據直接在這里使用,所以直接點擊頁面的create按鈕即可
創建好索引模板后,在Discover,左邊選擇所以logstash-*,右上角選擇時間,就可以看到日志了,左邊可以選擇要顯示的列
在Discover中上方的搜索框中輸入查詢公式進行查詢,基本語法有:
直接在搜索框輸入關鍵字,所有字段只要包括就會被匹配,比如輸入一串手機號碼;
如果是短語則需要用雙引號,中文的話因為它不會分詞,兩個及以上中文都算短語:
"hello world"
"中文"
可以用冒號指定某個字段包含某些關鍵字,field:value,當然短語還是需要用引號:
level:ERROR
level:"錯誤"
非、與、或:
NOT level:ERROR source:"logstash.log" AND level:ERROR level:WARN OR level:ERROR
組合用小括號:
(source:"logstash.log" OR source:"filebeat.log") AND level:ERROR
必須包含、不可包含:
+ 必須包含 - 不可包含 source:(+"logstash.log" -"2016-12-15") #必須來自logstash,但不要12-15的
數字的范圍(count類型必須是數字):
count:[1 TO 2] #1 ~ 2
通配符,跟常用的一致:
? 匹配單個字符
* 匹配0到多個字符
over