日志系统ELK使用详解--kibana安装和使用

Posted 2022-09-24 不去天涯

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了日志系统ELK使用详解--kibana安装和使用相关的知识，希望对你有一定的参考价值。

##概述#

这是这个小系列的最后一篇了，我们将看到如何安装kibana，以及对ELK中的日志信息进行快速查询。

##kibana安装#
1.到官网下载kibana；
2.解压缩；
3.修改配置文件kibana-5.3.0-darwin-x86_64/config/kibana.yml
打开：

elasticsearch.url: "http://localhost:9200"

这是链接es的http地址，kibana自身服务器默认的端口是5601.
4.控制台中运行./kibana，运行成功会看到如下信息：

##查看日志内容#
首次访问的时候，需要添加一个index pattern，用来告诉kibana我们需要从es里面搜索哪些类型的索引。

里面的index name or pattern不用改，因为logstash默认在es里创建的索引就是logstash-*格式命名的。

Time-field name选择 @timestamp，然后点击创建。然后就会看到kibana把es里面对应索引的所有字段信息都获取过来了：

##时间过滤器使用#
要检索数据，我们需要进入到Discover标签页面，先来熟悉时间过滤器，在页面的右上角，点击一下就可以展开选择区了。用来选择一个时间范围内的数据。

这里提供了三种设置方式：
1.快速的：可以快速的选择一个到当前时间为止N天，N月，N年的时间段；
2.相对于现在的时间：可以更加细致的设置第一种方式中的N值；
3.时间范围：可以明确指定开始时间和结束时间。

选中一个时间段后，可以看到搜索的结果分布和前500个结果的结果列表，以及左侧的字段列表、字段值top5.

##添加快速显示字段#
在左侧的字段列表中，鼠标滑动到某一个字段，字段右侧会出现一个add按钮，就是用来添加快速显示字段的。

快速显示字段是哪里呢，就是页面右侧的日志信息列表，因为日志信息包含的字段很多，默认只显示了time和_source两个字段，如果我们想快速显示path字段怎么办？就需要用到添加快速显示字段的功能了。

##关键字包含匹配#
有时候我们会看到日志中有很多接口的访问日志，如果我想看某一个特定接口的访问日志怎么办呢？

仍然需要在左侧的字段列表里操作，首先点击某个字段，比如来源于哪个日志文件（path），会看到列出的top5接口，而且每个接口旁边有一个放大镜和放小镜。放大镜就是用来增加包含匹配的，点击之后仅显示该字段值的日志。

##关键字不包含匹配#
字段列表处的放小镜就是用来设定不包含某个值了，比如我们只能看到top5，但是前几项我不关心，那么我们就可以把他排除掉，让更多的日志在top5能被看到，就需要这个功能了。

备注：大家可能很多接触es的人或者mongodb的让你都记得前段时间的比特币勒索，很多es和mongodb由于没有设置密码，库中的数据都被删除了。遗憾的是我们外网的一个es也被清洗了。所以如果自己的ELK是公网可以访问的那么最好给es设定一个用户名密码，让数据更安全一些。

~~~~~~~~~~~~~~~~~~~~~~~~~ 福利分割线~~~~~~~~~~~~~~~~~~~~~~~~~~~
-长期内推-：头条、快手、美团、阿里、陌陌、当当。有需要的朋友可以发邮件到我的邮箱xiaofan860412@163.com。

以上是关于日志系统ELK使用详解--kibana安装和使用的主要内容，如果未能解决你的问题，请参考以下文章