Einführung
Kibana ist eine leistungsstarke Visualisierungs- und Abfrageplattform und die primäre visuelle Komponente im ELK-Stack. Das Tool hat eine übersichtliche Benutzeroberfläche mit vielen nützlichen Funktionen zum Abfragen, Visualisieren und Umwandeln von Daten in praktische Informationen.
Dieses Tutorial enthält Beispiele und Erläuterungen zum Abfragen und Visualisieren von Daten in Kibana.
Voraussetzungen
- Kibana bereitgestellt und konfiguriert.
- Kibana-Beispieldaten für Webverkehr.
- Browser für den Zugriff auf das Kibana-Dashboard.
Was ist Kibana?
Kibana ist eine browserbasierte Visualisierungs-, Erkundungs- und Analyseplattform. Zusammen mit Elasticsearch und Logstash ist Kibana eine entscheidende Komponente des Elastic-Stacks. Die intuitive Benutzeroberfläche hilft bei der Erstellung von indizierten Elasticsearch-Daten in Diagrammen durch verschiedene Plots, Diagramme, Grafiken und Karten.
Wofür wird Kibana verwendet?
Kibana ist ein Tool zum Abfragen und Analysieren halbstrukturierter Protokolldaten in großen Mengen. Im ELK-Stack dient Kibana als Webschnittstelle für Daten, die in Elasticsearch gespeichert sind.
Einige Anwendungsfälle umfassen:
- Echtzeitanalyse des Website-Verkehrs.
- Sensorische Datenanalyse und -überwachung.
- Verkaufsstatistiken für E-Commerce-Websites.
- Überwachung der E-Mail-Zustellung.
Neben Visualisierung, Analyse und Datenexploration bietet Kibana eine Benutzeroberfläche zur Verwaltung der Elasticsearch-Autorisierung und -Authentifizierung.
Kibana-Funktionen
Kibana hat viele aufregende Funktionen. Einige weitere bemerkenswerte Funktionen sind in der folgenden Tabelle aufgeführt.
| Funktion | Beschreibung |
|---|---|
| Visualisierung | Core Kibana bietet klassische Grafikschnittstellen:Tortendiagramme, Histogramme, Liniendiagramme usw. |
| Dashboard | Das Zusammenfügen verschiedener Visualisierungen in einem Dashboard-Bereich schafft eine einfachere Datenübersicht. |
| Erstellen und Freigeben von Berichten | Generieren von CSV-Tabellen, Einbetten von Visualisierungen und Teilen über URL. |
| Suchen und Filtern | Datenfilterung und Abfragen mit der intuitiven Kibana Query Language (KQL). |
| Plugins | Zusätzliche Visualisierungs- und UI-Tools wie 3D-Grafiken, Kalendervisualisierung und Prometheus-Exporter sind über Plugins verfügbar. |
| Geoanalyse | Die Visualisierung räumlicher Daten bietet eine realistische Standortansicht. |
| Zeitreihenanalyse | Visueller Builder für Zeitreihendatenanalyse mit Aggregation. |
| Leinwand | Vollständig anpassbare Farben, Formen, Texte und Abfragen für dynamische Präsentationen. |
Kibana-Indexmuster
Über Indexmuster kommuniziert Elasticsearch mit Kibana. Ein definiertes Indexmuster teilt Kibana mit, welche Daten von Elasticsearch abgerufen und verwendet werden sollen. Fügen Sie ein Indexmuster hinzu, indem Sie diesen Schritten folgen:
1. Die Suchleiste oben auf der Seite hilft bei der Suche nach Optionen in Kibana. Drücken Sie STRG +/ oder klicken Sie auf die Suchleiste, um mit der Suche zu beginnen.
2. Geben Sie Indexmuster ein . Drücken Sie Eingabe um das Suchergebnis auszuwählen.
Bei der Suche wird die Groß-/Kleinschreibung nicht beachtet.
3. Die Indexmuster Seite öffnet. Klicken Sie auf Indexmuster erstellen um ein Indexmuster zu erstellen.
4. Um das Indexmuster zu definieren, suchen Sie anhand des genauen Namens nach dem Index, den Sie hinzufügen möchten. Verwenden Sie ein Sternchen (* ) für eine enge Übereinstimmung oder um mehrere Indizes mit einem ähnlichen Namen abzugleichen.
Wenn Sie sich bezüglich des Indexnamens nicht sicher sind, werden unten die verfügbaren Indexmuster aufgelistet. Wir verwenden die Kibana-Beispieldaten zum Webverkehr für das Tutorial. Klicken Sie auf Nächster Schritt um fortzufahren.
5. Wenn die Daten einen Index mit einem Zeitstempel haben, geben Sie das Standardzeitfeld zum Filtern der Daten nach Zeit an. Wählen Sie die entsprechende Option aus dem Dropdown-Menü aus.
Wählen Sie alternativ Ich möchte den Zeitfilter nicht verwenden aus Option, wenn Sie keine Zeitdaten haben oder Zeitfelder zusammenführen. Drücken Sie auf Indexmuster erstellen Schaltfläche zum Beenden.
6. Um die Daten zu erkunden, geben Sie Discover ein in der Suchleiste (STRG +/ ) und drücken Sie Enter .
7. Wählen Sie das Indexmuster aus dem Dropdown-Menü im linken Bereich aus.
Die Entdeckungsseite zeigt die Daten aus dem erstellten Indexmuster.
Kibana-Suche
Kibana bietet verschiedene Methoden, um Abfragen zu den Daten durchzuführen. Durch Klicken auf das Suchfeld werden Vorschläge und Optionen zur automatischen Vervollständigung angezeigt, wodurch die Lernkurve reibungsloser wird. Speichern Sie den Code zur späteren Verwendung in der Visualisierung.
Im Folgenden finden Sie die gebräuchlichsten Methoden zum Durchsuchen der Informationen sowie bewährte Verfahren.
KQL und Lucene
Version 6.2 und frühere Versionen verwendeten Lucene zum Abfragen von Daten. Neuere Versionen haben die Option hinzugefügt, die Sprache Kuery oder KQL zu verwenden, um die Suche zu verbessern. Die Versionen 7.0 und neuer verwenden standardmäßig KQL und bieten die Möglichkeit, zu Lucene zurückzukehren.
Um die Sprache in Lucene zu ändern, klicken Sie auf KQL Schaltfläche in der Suchleiste. Ändern Sie die Kibana-Abfragesprache Option auf Aus .
Textsuche
Verwenden Sie das Suchfeld ohne Felder oder lokale Anweisungen, um eine Freitextsuche in allen verfügbaren Datenfeldern durchzuführen.
Wenn keine Daten angezeigt werden, erweitern Sie das Zeitfeld neben dem Suchfeld, um einen größeren Bereich zu erfassen.
Einzelwortabfrage
Suche nach dem Wort elasticsearch findet alle Instanzen in den Daten in allen Feldern.
Bei der Abfrage in Kibana wird die Groß-/Kleinschreibung nicht beachtet. Verwenden Sie das Sternchen (* ) für eine Fuzzy-String-Suche.
Mehrwortabfrage
Drücken Sie die Leertaste, um Wörter zu trennen und mehrere einzelne Begriffe abzufragen.
Beispiel:get elasticsearch findet elasticsearch und get als getrennte Wörter.
String-Abfrage
Um eine exakte Zeichenfolge abzugleichen, verwenden Sie Anführungszeichen.
Beispiel:"get elasticsearch" fragt den gesamten String ab.
Feldsuche
Kibana ermöglicht die Suche nach einzelnen Feldern. Überprüfen Sie alle verfügbaren Felder im unteren linken Menübereich unter Verfügbare Felder :
Um eine Suche in einem bestimmten Feld durchzuführen, verwenden Sie die folgende Syntax:
<field name> : <query>Die Abfragesyntax hängt vom Feldtyp ab.
Suchfeld für genauen Ausdruck
Suchen Sie beispielsweise nach response.keyword Feld für "404" Nachrichtenantwort:
Die Ausgabe zeigt alle übereinstimmenden Instanzen im angegebenen Feld. Suchen Sie nach mehreren Werten, indem Sie die Suchbegriffe durch ein Leerzeichen trennen:
response.keyword : 404 200Beachten Sie, dass der Feldtyp auf t eingestellt ist , was angibt, dass das Feld Texttyp ist .
Suchfeldbereich
Numerische und Datumstypen erfordern oft einen Bereich. KQL unterstützt vier Bereichsoperatoren.
- Größer als (>).
- Kleiner als (<).
- Größer als oder gleich (>=).
- Kleiner als oder gleich (<=).
Suchen Sie beispielsweise nach einem Datumsbereich:
@timestamp <= "2021-09-02"
Die Ausgabe zeigt alle Daten vor und einschließlich des aufgelisteten Datums.
Boolesche Abfragen
Logische Aussagen analysieren zwei oder mehr Abfragen auf ihren Wahrheitswert. Die logischen Operatoren sind aus optischen Gründen in Großbuchstaben geschrieben und funktionieren genauso gut in Kleinbuchstaben. Boolesche Abfragen werden sowohl für Textabfragen als auch beim Durchsuchen von Feldern ausgeführt.
Es gibt drei logische Operatoren in KQL:
1. Das AND Operator erfordert, dass beide Begriffe in einem Suchergebnis erscheinen. Verwenden Sie AND um alle Fälle zu finden, in denen zwei Begriffe vorkommen:
<query> AND <query>Zum Beispiel:
elasticsearch AND get
Kombinieren Sie AND Operator mit Feldabfragen, um alle Instanzen zu finden, in denen beide Abfragebegriffe in bestimmten Feldern vorkommen:
<field name> : <query> AND <field name> : <query>Suchen Sie beispielsweise nach allen Fällen, in denen Windows XP eine 400-Antwort hatte:
machine.os.keyword : "win xp" AND response.keyword : "404"
Die Ausgabe zeigt alle Ergebnisse, bei denen beide win xp und 404 erscheinen zusammen.
2. Das OR -Operator erfordert mindestens ein Argument, um wahr zu sein. Die Syntax lautet:
<query> OR <query>Zum Beispiel:
elasticsearch OR get
Verbinden Sie das OR Operator- und Feldabfragen, um alle Instanzen zu finden, in denen beide Abfragebegriffe in bestimmten Feldern vorkommen:
<field name> : <query> OR <field name> : <query>
Suchen Sie beispielsweise nach allen Ergebnissen, bei denen das Betriebssystem Windows XP ist oder die Antwort 400 war :
machine.os.keyword : "win xp" OR response.keyword : "404"
3. Das NOT Operator negiert den Suchbegriff. Suchen Sie beispielsweise nach einem beliebigen Antwortschlüsselwort außer 404 :
NOT response.keyword : "404"
Verwenden Sie alternativ - oder ! vor dem Suchbegriff, um eine Negation anzuzeigen.
Kibana-Filter
Der Kibana-Filter hilft dabei, Felder in den Suchanfragen auszuschließen oder einzuschließen.
1. Erstellen Sie einen Filter, indem Sie auf +Filter hinzufügen klicken verlinken.
Ein Dialogfeld zum Erstellen des Filters wird angezeigt.
2. Wählen Sie ein Feld aus aus dem Dropdown-Menü oder starten Sie die Suche, um automatische Vorschläge zu erhalten.
3. Wählen Sie einen Operator aus dem Dropdown-Menü.
4. Ein zusätzlicher Wert erscheint je nach gewähltem Operator. Die existiert und existiert nicht Optionen erfordern kein Wertfeld, während alle anderen Operatoren dies tun. Wählen Sie den Filterwert, wenn der Operator ihn benötigt.
5. Als optionalen Schritt erstellen Sie ein benutzerdefiniertes Label für den Filter. Klicken Sie auf Benutzerdefiniertes Label erstellen? Kontrollkästchen und geben Sie einen Namen ein. Klicken Sie auf Speichern zu beenden.
Der Filter erscheint unterhalb des Suchfeldes und gilt automatisch für aktuelle Daten und alle weiteren Suchen.
Fügen Sie mehrere Filter hinzu, um die Datensatzsuche weiter einzugrenzen.
Kibana-Visualisierung
Die Visualisierung in Kibana ist das entscheidende Feature mit vielen Optionen zur Visualisierung und Präsentation von Daten.
Kibana-Visualisierungstypen
Beim Erstellen einer Visualisierung stehen fünf Editoren zur Auswahl:
1. Linse erstellt Visualisierungen in einer Drag-and-Drop-Oberfläche und ermöglicht ein schnelles Umschalten zwischen Visualisierungstypen. Die Schnittstelle wird für die meisten Anwendungsfälle empfohlen.
2. Karten ist ein Editor für geografische Daten und Schichtinformationen auf einer Karte.
3. TSVB ist eine Schnittstelle für erweiterte Zeitreihenanalysen.
4. Benutzerdefinierte Visualisierungen verwendet die Vega-Syntax, um benutzerdefinierte Diagramme zu erstellen.
5. Aggregationsbasiert Visualisierungen verwenden die Standardbibliothek zum Erstellen von Diagrammen.
Kibana bietet außerdem zwei zusätzliche Tools zur Verbesserung von Präsentationen:
1. Text- und Bildwerkzeug.
2. Steuerungstool zum Hinzufügen von Schiebereglern und Dropdown-Menüs.
Alle Tools arbeiten zusammen, um Dashboards zur Präsentation von Daten zu erstellen.
Kibana-Aggregationen
Das Kibana-Aggregationstool bietet verschiedene Visualisierungen:
1. Bereich hebt Daten zwischen einer Achse und einer Linie hervor.
2. Ziel verfolgt den metrischen Fortschritt zu einem bestimmten Ziel.
3. Linie zeigt Daten als eine Reihe von Punkten an.
4. Tag-Cloud zeigt die Worthäufigkeit an.
5. Datentabelle zeigt Daten in Zeilen und Spalten an.
6. Heatmap zeigt Daten in einer Zellenmatrix mit schattierten Bereichen an.
7. Metrik zeigt ein Berechnungsergebnis als einzelne Zahl an.
8. Zeitlöwe stellt Zeitreihendaten dar.
9. Messgerät zeigt einen Messwertstatus an.
10. Horizontaler Balken zeigt Daten in horizontalen Balken auf einer Achse an.
11. Kuchen vergleicht Daten in Teilen mit einem Ganzen.
12. Senkrechter Balken zeigt Daten in einem vertikalen Balken auf einer Achse an.
Erstellen Sie eine Visualisierung in Kibana
So erstellen Sie eine Visualisierung in Kibana:
1. Suchen Sie nach Visualize Library in der oberen Suchleiste (Kürzel STRG +/ ) und drücken Sie Enter .
2. Klicken Sie auf Neue Visualisierung erstellen Schaltfläche.
3. Wählen Sie einen Visualisierungstyp aus der Liste aus. Scrollen Sie beispielsweise nach unten und wählen Sie Aggregationsbasiert aus .
4. Suchen Sie in der Optionsliste Pie und wählen Sie es aus um ein Tortendiagramm zu erstellen.
5. Suchen Sie anhand des Namens nach dem Indexmuster und wählen Sie es aus, um fortzufahren. Ein Erstellungs-Dashboard wird angezeigt.
6. Wählen Sie Metriken aus für die Daten. Die Zählung Metrik ist standardmäßig ausgewählt.
7. Fügen Sie einen Bucket hinzu Parameter und wählen Sie Slices teilen .
8. Wählen Sie Optionen für die erforderlichen Felder aus. Legen Sie beispielsweise die Aggregation fest zu den Nutzungsbedingungen und das Feld zu machine.os.keyword .
9. Drücken Sie auf Aktualisieren Schaltfläche (Kürzel STRG + Eingabe ), um das Kreisdiagramm anzuzeigen.
Spielen Sie mit den Optionen, Filtern und der Zeitleiste, um die Visualisierung anzupassen.
10. Wenn Sie fertig sind, klicken Sie auf Speichern Schaltfläche in der oberen rechten Ecke. Benennen Sie das Diagramm und wählen Sie Neu aus um ein neues Dashboard zu erstellen.
Klicken Sie auf Speichern und zum Dashboard gehen um die Visualisierung im Dashboard anzuzeigen. Speichern Sie das Dashboard und geben Sie einen Namen dafür ein.
Teilen Sie Kibana-Visualisierungen
Teilen Sie das Dashboard in Echtzeit oder einen Schnappschuss der aktuellen Ergebnisse. So geben Sie ein Kibana-Dashboard frei:
1. Öffnen Sie das Dashboard, das Sie freigeben möchten.
2. Klicken Sie auf Teilen in der Menüleiste.
3. Wählen Sie den Einbettungscode Option zum Generieren eines iFrame-Objekts. Alternativ wählen Sie den Permalink Option zum Teilen per Link.