Kibana探索數據(Discover)詳解

設置時間過濾器

時間過濾器按照指定的時間段展示搜索結果。設置了 index contains time-based events 和 time-field 的索引模式可以使用時間過濾器。

時間過濾器默認的時間段為最近15分鍾。您可以使用頁面頂部的 Time Picker 來調整時間段和刷新頻率。

通過 Time Picker 設置時間過濾器：
1.點擊 Kibana 工具欄中的 Time Picker time picker 。
2.可以通過點擊一個時間段設置快速過濾。
3.可以基於當前時間來設置相對時間過濾器，點擊 Relative 后選擇數字和時間單位（秒、分、時、天、月、年）來指定當前時間多久之前是開始時間。也可以用同樣的方式指定當前多久之后為結束時間。相對時間既可以是過往也可以是將來。
4.可以點擊 Absolute ，通過修改 To 和 From 字段直接指定開始時間和結束時間。
5.點擊工具條下方最右側的脫字符圖標來關閉 Time Picker 。

用如下兩種方式可以通過直方圖來設置時間過濾器：

• 直接點擊直方圖上的一根柱子來放大對應的時間段。
• 通過拖拽的方式指定時間段。當光標在圖表的背景上變成一個加號時，代表這是可以選取的時間段。

可以點擊 Time Picker 左邊和右邊的箭頭來選擇上一個或下一個時間段：

您可以通過瀏覽器的返回按鈕進行撤銷操作。

時間段和刷新周期會在直方圖上展示。默認情況下，刷新周期會根據時間段來自動設置。也可以可以通過頁面上的鏈接手動設置刷新周期。

搜索數據

通過在搜索欄輸入搜索條件，您可以在匹配當前索引模式的索引中進行搜索。您可以進行簡單的文本查詢，或使用 Lucene 語法，或使用基於 JSON 的 Elasticsearch 查詢 DSL 。

提交一次搜索請求后，直方圖、文檔列表、字段列表會按新的搜索結果來展示。工具欄上會展示命中的文檔數量。文檔列表會展示前5條命中的文檔。默認情況下，文檔列表會按時間倒序進行排列，最新的文檔顯示在最上面。您可以點擊時間字段的表頭來調整順序。您可以基於任何索引字段來指定列表的順序。可以參考 Sorting the Documents Table 獲取更多信息。

搜索欄輸入您的搜索條件，然后回車或點擊 Search search button 來向 Elasticsearch 提交搜索請求。

• 直接輸入文本字符串來進行簡單文本搜索。例如，查詢 Web 服務器日志的時候輸入 safari 來搜索所有字段中包含詞條 safari 的文檔。
• 可以用字段名作為前綴來根據指定字段進行搜索。例如，輸入 status:200 來搜索字段 status 中包含詞條 200 的文檔。
• 可以通過中括號指定范圍搜索， [START_VALUE TO END_VALUE] 。例如，搜索狀態為 4xx 的條目，您可以輸入 status:[400 TO 499] 。
• 您可以通過布爾操作符 AND 、 OR 和 NOT 來指定更多的搜索條件。例如，搜索狀態為 4xx 而且擴展名為 php 或 html 的條目，您可以輸入 status:[400 TO 499] AND (extension:php OR extension:html) 。

保存搜索

搜索保存后可以在下次使用數據探索的時候被重新載入並作為可視化的基礎條件。保存搜索的時候既保存了查詢字符串，也保存了當前選擇的索引模式。

保存當前的搜索:

• 點擊 Kibana 工具欄的 Save 。
• 輸入搜索的名稱然后點擊 Save 。

您可以在 Management/Kibana/Saved Objects 導入、導出或刪除已經保存的搜索。

打開已經保存的搜索

在搜索欄載入已經保存的搜索：

• 在 Kibana 工具欄點擊 Open 。
• 選擇您要打開的搜索。

如果打開的搜索是關聯到非當前索引模式的，打開這個搜索的同時會同時改變選擇的索引模式。

更改要搜索的索引

提交一個搜索請求后，會在匹配當前索引模式的索引中進行搜索。當前的模式會展示在工具欄上。如果要改變需要搜索的索引模式，請點擊這個索引模式然后選擇另外一個。

刷新搜索結果

隨着越來越多的文檔被加入您要搜索的索引中，視圖中展示的搜索結果會變得越陳舊。您可以設置刷新頻率來周期性的提交搜索請求，以獲取最新的結果。

開啟自動刷新：

• 點擊 Kibana 工具欄中的 Time Picker Time Picker 。
• 點擊 Auto refresh 。

自動刷新開啟后，刷新頻率會和一個 Pause 按鈕一起展示在 Time Picker 旁邊。點擊 Pause 可以臨時性的暫停自動刷新。

如果自動刷新沒有打開，您可以手動點擊 Refresh 來刷新視圖。

根據字段過濾

可以對搜索結果進行過濾，只顯示包含特定字段值的文檔。也可以創建否定過濾器，排除包含特定字段值的文檔。

從 Fields 表或 Documents 表中選擇要添加的字段過濾器。除了可以創建積極字段和消極過濾器外，Documents 表還可以過濾某一字段是否存在。使用過的過濾器會在 Query 欄下方顯示。消極過濾器用紅色顯示。

從 Fields 列表中添加一個過濾器:
1.點擊想要過濾的字段名。這里顯示了該領域最常用的五個字段值。
2.添加積極過濾器，請點擊 Positive Filter 按鈕。這會只顯示包含該字段值的文檔。
3.添加消極過濾器，請點擊 Negative Filter 按鈕。這會排除包含該字段值的文檔。

從 Documents 表中添加一個過濾器：
1.通過點擊文檔表條目左側的 Expand 按鈕 Expand Button 展開 Documents 表中的一個文檔。
2.添加積極過濾器，請點擊該字段名右側的 Positive Filter 按鈕。這會只顯示包含該字段值的文檔。
3.添加消極過濾器，請點擊該字段名右側的 Negative Filter 按鈕。這會排除包含該字段值的文檔。
4.過濾文檔是否包含某一字段，請點擊該字段名右側的 Exists 按鈕。這會只顯示包含該字段的文檔。

管理過濾器

修改一個過濾器，請將鼠標置於該過濾器，然后點擊某個操作按鈕。

• 啟動過濾器
  禁用過濾器不會刪除過濾器。再次點擊會重啟過濾器。斜條紋表示過濾器被禁用。
• 固定過濾器
  當把上下文切換為 Kibana 時，被固定的過濾器仍然有效。例如，在 Discover 中固定一個過濾器，若切換至 Visualize，該過濾器仍然存在。請注意，過濾器是基於某個特定的索引字段——如果搜索的索引不包含固定過濾器中的字段，將不會生效。
• 切換篩選器
  在積極過濾器和消極過濾器之間轉換。
• 移除過濾器
• 編輯過濾器
  編輯過濾器定義。可用於手動更新過濾查詢和為過濾器指定標簽。
  對所有已應用的過濾器進行一次過濾，點擊 Actions 並選擇過濾指令。

查看文檔數據

提交一個搜索查詢后，Documents 表中就會列出500個匹配查詢的最新文檔。您可以通過 Advanced Settings 中的 discover:sampleSize 設置表中顯示的文檔個數。默認情況下，該表顯示的是為所選索引模式和文本 _source 配置的時間域的本地化版本。 您可以從 Fields 表中選擇字段向 Documents 表中添加。您可以通過表中包含的任意索引字段對所列文檔進行排序。

查看文檔的字段數據，請擊該文檔表項目左側的 Expand 按鈕。

查看原始 JSON 文檔（整齊打印），請點擊 JSON 標簽。

以單獨頁面查看文檔數據，請點擊 View single document 鏈接。可以通過收藏和分享本鏈接來實現對特定文檔的直接訪問。

顯示或隱藏 Documents 表中的某一個字段所在的列，請點擊 Add Column Toggle column in table 按鈕。

折疊文檔細節，請點擊 Collapse 按鈕。

整理文檔列表

可以根據任意索引字段值對 Documents 表中的文檔進行分類。如果為當前索引模式配置一個時間字段，文檔將默認按照反向時間順序排列。

若要改變排列順序，鼠標放在您想分類的字段名上，然后點擊分類按鈕。再次點擊將反向排序。

向文檔表中添加字段列

默認情況下, Documents 表顯示的是為所選索引模式和 _source 文檔配置的時間字段的本地化版本。 您可以從 Fields 列表或文檔的字段數據中選擇字段向文檔表中添加。

從 Fields 列表中添加字段列，請將鼠標放在該字段上，並點擊該字段的 add 按鈕。

從文檔的字段數據中添加字段列，請展開文檔並點擊該字段的 Add Column Toggle column in table 按鈕。

添加的字段列會取代 Documents 表中的 _source 列。添加的字段也會被添加到 Selected Fields 列表中。

重新排列字段列，請將鼠標置於想要移動的列的標題上，然后點擊 Move left 或 Move right 按鈕。

從文檔表中移除字段列

從文檔表中移除一個字段列，請將鼠標置於想要移除的列的標題處，然后點擊 Remove 按鈕。

查看文檔上下文

對於某些應用程序來說，窗口查看圍繞特定主題的多個文檔是很有用的。上下文視圖能夠幫助設置包含時序性事件的索引模式。

想要顯示與錨文檔相關的上下文，點擊文檔表條目左側的 Expand 按鈕 Expand Button ，然后點擊 View surrounding documents 鏈接。

上下文視圖會顯示錨文檔前后的多個文檔。錨文檔會用藍色突出顯示。該視圖是根據索引模式配置的時間字段而檢索出的結果，並使用 Discover 瀏覽上下文時打開的組列。

默認顯示的文檔數量可以通過 Management > Advanced Options 中的 context:defaultSize 設置。

改變上下文數量

可以單獨改變錨文檔前后的文檔顯示數量。

想要增加比錨文檔更新文檔的顯示數量， 點擊文檔列表上方的Load 5 more 按鈕，或者在該按鈕右側的輸入框中輸入所需的數量。

想要增加比錨文檔更舊文檔的顯示數量，點擊文檔列表下方的 Load 5 more 按鈕，或者在該按鈕右側的輸入框中輸入所需的數量。

每次點擊按鈕默認加載的文檔數量能夠通過 Management > Advanced Options 中的 context:step 配置。

展示字段數據統計

通過 Fields 列表， 您可以看到文檔列表里面有多少文檔包含特定的字段，這個字段排名前5的值是什么，包含每一個值的文檔所占的百分比是多少。

在字段列表里面點擊字段名稱，可以展示字段數據統計。