Introduzione
Kibana è una potente piattaforma di visualizzazione e interrogazione e il componente visivo principale nello stack ELK. Lo strumento ha un'interfaccia utente pulita con molte funzioni utili per interrogare, visualizzare e trasformare i dati in informazioni pratiche.
Questo tutorial fornisce esempi e spiegazioni sull'esecuzione di query e sulla visualizzazione dei dati in Kibana.
Prerequisiti
- Kibana distribuito e configurato.
- Dati di esempio Kibana per il traffico web.
- Browser per accedere alla dashboard di Kibana.
Cos'è Kibana?
Kibana è una piattaforma di visualizzazione, esplorazione e analisi basata su browser. Insieme a Elasticsearch e Logstash, Kibana è un componente cruciale dello stack Elastic. L'intuitiva interfaccia utente aiuta a creare dati Elasticsearch indicizzati in diagrammi attraverso vari grafici, grafici, grafici e mappe.
A cosa serve Kibana?
Kibana è uno strumento per interrogare e analizzare dati di registro semistrutturati in grandi volumi. Nello stack ELK, Kibana funge da interfaccia web per i dati archiviati in Elasticsearch.
Alcuni casi d'uso includono:
- Analisi in tempo reale del traffico del sito web.
- Analisi e monitoraggio dei dati sensoriali.
- Statistiche di vendita per i siti di e-commerce.
- Monitoraggio consegna e-mail.
Oltre alla visualizzazione, analisi ed esplorazione dei dati, Kibana fornisce un'interfaccia utente per la gestione dell'autorizzazione e dell'autenticazione di Elasticsearch.
Caratteristiche Kibana
Kibana ha molte caratteristiche interessanti. Alcune caratteristiche più importanti sono descritte nella tabella seguente.
| Funzione | Descrizione |
|---|---|
| Visualizzazione | Core Kibana presenta interfacce grafiche classiche:grafici a torta, istogrammi, grafici a linee, ecc. |
| Dashboard | L'unione di varie visualizzazioni in un riquadro dashboard crea una panoramica dei dati più semplice. |
| Generazione e condivisione di rapporti | Generazione di tabelle CSV, incorporamento di visualizzazioni e condivisione tramite URL. |
| Ricerca e filtri | Filtraggio dei dati e query utilizzando l'intuitivo Kibana Query Language (KQL). |
| Plugin | Ulteriori strumenti di visualizzazione e interfaccia utente, come grafici 3D, visualizzazione del calendario ed esportatore Prometheus sono disponibili tramite plug-in. |
| Analisi geospaziale | La visualizzazione dei dati spaziali fornisce una visualizzazione realistica della posizione. |
| Analisi delle serie temporali | Generatore visivo per l'analisi dei dati di serie temporali con aggregazione. |
| Canvas | Colori, forme, testi e query completamente personalizzabili per presentazioni dinamiche. |
Modello indice Kibana
I modelli di indice sono il modo in cui Elasticsearch comunica con Kibana. Un modello di indice definito dice a Kibana quali dati da Elasticsearch recuperare e utilizzare. Aggiungi un modello di indice seguendo questi passaggi:
1. La barra di ricerca nella parte superiore della pagina aiuta a individuare le opzioni in Kibana. Premi CTRL +/ oppure fai clic sulla barra di ricerca per iniziare la ricerca.
2. Digita Modelli di indice . Premi Invio per selezionare il risultato della ricerca.
La ricerca non fa distinzione tra maiuscole e minuscole.
3. I Modelli di indice si apre la pagina. Fai clic su Crea modello di indice per creare un modello di indice.
4. Per definire il modello di indice, cercare l'indice che si desidera aggiungere in base al nome esatto. Utilizza un asterisco (* ) per una corrispondenza ravvicinata o per abbinare più indici con un nome simile.
Se non sei sicuro del nome dell'indice, i modelli di indice disponibili sono elencati in fondo. Stiamo utilizzando i dati sul traffico Web di esempio di Kibana per il tutorial. Fai clic su Passaggio successivo per continuare.
5. Se i dati hanno un indice con un timestamp, specificare il campo dell'ora predefinito per filtrare i dati in base all'ora. Seleziona l'opzione appropriata dal menu a tendina.
In alternativa, seleziona Non voglio utilizzare il filtro dell'ora opzione se non si dispone di dati sull'ora o unire i campi dell'ora. Premi Crea pattern indice pulsante per terminare.
6. Per esplorare i dati, digita Scopri nella barra di ricerca (CTRL +/ ) e premi Invio .
7. Seleziona il modello di indice dal menu a discesa nel riquadro di sinistra.
La pagina di rilevamento mostra i dati dal modello di indice creato.
Ricerca Kibana
Kibana offre vari metodi per eseguire query sui dati. Facendo clic sul campo di ricerca sono disponibili suggerimenti e opzioni di completamento automatico, il che rende la curva di apprendimento più fluida. Salva il codice per un uso successivo nella visualizzazione.
Di seguito sono riportati i modi più comuni per eseguire ricerche tra le informazioni, insieme alle best practice.
KQL e Lucene
La versione 6.2 e le versioni precedenti utilizzavano Lucene per interrogare i dati. Le versioni più recenti hanno aggiunto l'opzione per utilizzare il linguaggio Kuery o KQL per migliorare la ricerca. Le versioni 7.0 e più recenti utilizzano KQL per impostazione predefinita e offrono la possibilità di tornare a Lucene.
Per cambiare la lingua in Lucene, fai clic su KQL pulsante nella barra di ricerca. Cambia il linguaggio di query Kibana opzione su Disattiva .
Ricerca di testo
Utilizza la casella di ricerca senza campi o istruzioni locali per eseguire una ricerca di testo libera in tutti i campi di dati disponibili.
Se non vengono visualizzati dati, prova a espandere il campo dell'ora accanto alla casella di ricerca per acquisire un intervallo più ampio.
Query di una singola parola
Ricerca della parola elasticsearch trova tutte le istanze nei dati in tutti i campi.
La query in Kibana non fa distinzione tra maiuscole e minuscole. Utilizza l'asterisco (* ) per una ricerca di stringhe fuzzy.
Query multiparola
Premi la barra spaziatrice per separare le parole e interrogare più singoli termini.
Ad esempio, get elasticsearch individua elasticsearch e get come parole separate.
Query di stringa
Per abbinare una stringa esatta, usa le virgolette.
Ad esempio, "get elasticsearch" interroga l'intera stringa.
Ricerca sul campo
Kibana consente la ricerca di singoli campi. Controlla tutti i campi disponibili nel riquadro del menu in basso a sinistra in Campi disponibili :
Per eseguire una ricerca in un campo specifico, utilizzare la seguente sintassi:
<field name> : <query>La sintassi della query dipende dal tipo di campo.
Campo di ricerca per la frase esatta
Ad esempio, cerca il response.keyword campo per il "404" risposta al messaggio:
L'output mostra tutte le istanze corrispondenti nel campo specificato. Cerca più valori separando i termini della query con uno spazio:
response.keyword : 404 200Nota che il tipo di campo è impostato su t , indicando che il campo è tipo di testo .
Intervallo campo di ricerca
I tipi numerici e di data richiedono spesso un intervallo. KQL supporta quattro operatori di gamma.
- Maggiore di (>).
- Inferiore a (<).
- Maggiore o uguale a (>=).
- Inferiore o uguale a (<=).
Ad esempio, cerca un intervallo di date:
@timestamp <= "2021-09-02"
L'output mostra tutte le date precedenti e inclusa la data elencata.
Query booleane
Le affermazioni logiche analizzano due o più domande per il valore di verità. Gli operatori logici sono in maiuscolo per motivi visivi e funzionano ugualmente bene in minuscolo. Le query booleane vengono eseguite per entrambe le query di testo o durante la ricerca nei campi.
Ci sono tre operatori logici in KQL:
1. Il AND operatore richiede che entrambi i termini appaiano in un risultato di ricerca. Usa AND per individuare tutte le istanze in cui compaiono due termini:
<query> AND <query>Ad esempio:
elasticsearch AND get
Combina AND operatore con query sui campi per individuare tutte le istanze in cui entrambi i termini della query vengono visualizzati in campi specifici:
<field name> : <query> AND <field name> : <query>Ad esempio, cerca tutte le istanze in cui Windows XP ha avuto una risposta 400:
machine.os.keyword : "win xp" AND response.keyword : "404"
L'output mostra tutti i risultati in cui entrambi win xp e 404 appaiono insieme.
2. Il OR operatore richiede almeno un argomento per essere vero. La sintassi è:
<query> OR <query>Ad esempio:
elasticsearch OR get
Unisci il OR operatore e query sul campo per individuare tutte le istanze in cui i termini della query vengono visualizzati in campi specifici:
<field name> : <query> OR <field name> : <query>
Ad esempio, cerca tutti i risultati in cui il sistema operativo è Windows XP o la risposta è stata 400 :
machine.os.keyword : "win xp" OR response.keyword : "404"
3. Il NOT operatore nega il termine di ricerca. Ad esempio, cerca qualsiasi parola chiave di risposta eccetto 404 :
NOT response.keyword : "404"
In alternativa, usa - o ! prima del termine di ricerca per indicare la negazione.
Filtro Kibana
Il filtro Kibana aiuta a escludere o includere campi nelle query di ricerca.
1. Crea un filtro facendo clic su +Aggiungi filtro collegamento.
Viene visualizzata una finestra di dialogo per creare il filtro.
2. Seleziona un Campo dal menu a tendina o avvia la ricerca per ottenere suggerimenti automatici.
3. Scegli un Operatore dal menu a tendina.
4. Un ulteriore Valore viene visualizzato il campo a seconda dell'operatore scelto. Il esiste e non esiste le opzioni non richiedono il campo Valore mentre tutti gli altri operatori lo richiedono. Scegli il valore di filtro se l'operatore ne ha bisogno.
5. Come passaggio facoltativo, creare un'etichetta personalizzata per il filtro. Seleziona Creare un'etichetta personalizzata? casella di controllo e fornire un nome. Fai clic su Salva per finire.
Il filtro viene visualizzato sotto la casella di ricerca e si applica automaticamente ai dati correnti e a tutte le ulteriori ricerche.
Aggiungi più filtri per restringere ulteriormente la ricerca del set di dati.
Visualizzazione Kibana
La visualizzazione in Kibana è la caratteristica cruciale con molte opzioni per la visualizzazione e la presentazione dei dati.
Tipi di visualizzazione Kibana
Quando si crea una visualizzazione, sono disponibili cinque editor tra cui selezionare:
1. Obiettivo crea elementi visivi in un'interfaccia drag-and-drop e consente di passare rapidamente da un tipo di visualizzazione all'altro. L'interfaccia è consigliata per la maggior parte dei casi d'uso.
2. Mappe è un editor utilizzato per dati geografici e informazioni sui livelli su una mappa.
3. TSVB è un'interfaccia per l'analisi avanzata delle serie temporali.
4. Visualizzazioni personalizzate utilizza la sintassi Vega per creare grafici personalizzati.
5. Basato sull'aggregazione le visualizzazioni utilizzano la libreria standard per creare grafici.
Kibana fornisce inoltre due strumenti aggiuntivi per migliorare le presentazioni:
1. Strumento testo e immagine.
2. Strumento di controllo per l'aggiunta di cursori e menu a discesa.
Tutti gli strumenti lavorano insieme per creare dashboard per la presentazione dei dati.
Aggregazioni Kibana
Lo strumento di aggregazione Kibana fornisce varie visualizzazioni:
1. Area evidenzia i dati tra un asse e una linea.
2. Obiettivo tiene traccia dell'avanzamento della metrica verso un obiettivo specifico.
3. Linea visualizza i dati come una serie di punti.
4. Nuvola di tag mostra la frequenza delle parole.
5. Tabella di dati mostra i dati in righe e colonne.
6. Mappa termica visualizza i dati in una matrice di celle con regioni ombreggiate.
7. Metrica mostra un risultato di calcolo come un unico numero.
8. Leone del tempo grafica i dati delle serie temporali.
9. Indicatore mostra uno stato della metrica.
10. Barra orizzontale visualizza i dati in barre orizzontali su un asse.
11. Torta confronta i dati in porzioni rispetto a un intero.
12. Barra verticale mostra i dati in una barra verticale su un asse.
Crea una visualizzazione in Kibana
Per creare una visualizzazione in Kibana:
1. Cerca Visualizza libreria nella barra di ricerca in alto (scorciatoia CTRL +/ ) e premi Invio .
2. Fare clic su Crea nuova visualizzazione pulsante.
3. Selezionare un tipo di visualizzazione dall'elenco. Ad esempio, scorri verso il basso e scegli Basato su aggregazione .
4. Dall'elenco delle opzioni, individuare e selezionare Torta per creare un grafico a torta.
5. Cercare il modello di indice per nome e selezionarlo per continuare. Viene visualizzata una dashboard di creazione.
6. Seleziona Metriche per i dati. Il conte la metrica è selezionata per impostazione predefinita.
7. Aggiungi un Secchio parametro e seleziona Dividi fette .
8. Scegli le opzioni per i campi obbligatori. Ad esempio, imposta l'Aggregazione ai Termini e il Campo a machine.os.keyword .
9. Premi Aggiorna pulsante (scorciatoia CTRL +Entra ) per visualizzare il grafico a torta.
Gioca con le opzioni, i filtri e la sequenza temporale per regolare la visualizzazione.
10. Al termine, fai clic su Salva pulsante nell'angolo in alto a destra. Assegna un nome al grafico e seleziona Nuovo per creare una nuova dashboard.
Fai clic su Salva e vai a Dashboard per vedere la visualizzazione nella dashboard. Salva la dashboard e digita un nome per essa.
Condividi visualizzazioni Kibana
Condividi la dashboard in tempo reale o un'istantanea dei risultati correnti. Per condividere una dashboard Kibana:
1. Apri la dashboard che desideri condividere.
2. Fai clic su Condividi nella barra dei menu.
3. Scegli il Codice di incorporamento opzione per generare un oggetto iFrame. In alternativa, seleziona il Permalink opzione per condividere tramite link.