ELK日志系统的discover界面使用指南

Posted 2021-04-30 云开源

在上一篇中我们介绍了ELK日志系统，这一篇中我们继续介绍discover界面的使用。

Kibana功能简介

kibana是基于elasticsearch的数据进行数据分析和可视化的开源软件。通过配置文件选择相应的elasticsearch实例；通过settings界面选择需要分析和可视化的elasticsearch的index匹配模式，至少选择一种index；discover界面提供实时搜索和分析功能；对于设定好的搜索模式，可以保存后在visualize界面设置图形化方式；之后在dashboard界面将多个visualize进行整合，作为日志管理系统的主界面。该dashboard界面也是可以做到实时更新的。dashboard示例如下：

   discover界面使用

discover界面主要是通过各种过滤器搜索日志，如时间、type、loglevel等，并对所搜索到的日志做简单统计。界面如下所示，index栏显示当前选择的elasticsearch中的index。以下只做引导式介绍。

1

时间过滤器使用

点击右上角“时间过滤器”，可以展开或收起时间过滤器选择框，如下

可以分别设置想要分析的日志时间段和实时更新功能。默认time filter：last 15 minutes，refresh interval：off。

2

 搜索栏使用

全字段匹配：搜索功能的后台支持是elasticsearch，属于全文搜索引擎，可以通过双引号进行任何字符串的匹配，如"req-de481090-bfec-4aea-8252-90c27abe51bf - - - - -"

使用字段和逻辑表达：Elasticsearch的数据源是经过logstash格式化的日志，该格式通过elasticsearch的mapping API对应到kibana的字段。在文档栏的source中可以查看到格式化后的日志，以及原日志。搜索时可以使用字段和逻辑表达，如type:ceilometer，type:ceilometer and loglevel:error等。这里注意，输入过程中kibana的搜索栏会动态解析搜索内容，搜索表达式输入过程中可能会显示红框，提示无法解析，待全部输入完全即可。

使用过滤器：过滤器可以叠加使用，只能够对已有字段进行设置。鼠标移动到对应字段，字段会变灰，并显示该字段统计量前五的数据，如下所示：

点击对应+（正向过滤）、-（反向过滤）进行过滤。对所有字段的过滤，可以在文档栏的source中进行选择，如下所示：

选择后的过滤器会显示在搜索栏下方，便于进行设置：

图标和文字可以达到相同的功能，分别是过滤器使能、禁用（不删除，以便随时使能）、反选、锁定（更改搜索内容不变更）和删除。

3

工具栏使用

过滤器设置好后，可以对该设置在工具栏中进行保存，作为visualize的数据源。三个图标分别是开始一个新的搜索、保存搜索、打开以后搜索。

4

柱状图统计

柱状图实时对搜索内容进行统计，以时间作为横坐标，显示搜索到的总日志条数。也可以通过箭头按钮展开或折叠显示相应的文本记录。默认一页最多显示500条。鼠标移动到相应柱状，可显示对应条数，数遍变为十字，可以进行放大（zoon in）或缩小(zoon out)。

5

文档栏字段选择

默认文档栏只显示time和_source字段，需要调整显示字段，可以在页面左边字段选择框添加和删除。鼠标移动到相应字段，字段变灰，同时出现add或remove按钮。所选字段也可以进行移动布局，或排序。字段是否作为popular field，在settings中进行设置。

作者简介：张文燕，应用软件开发工程师，5年经验，熟悉linux应用程序开发等，擅长C/C++、Python等编码和故障诊断，对Openstack、Packstack、日志系统和版本管理等有研究。