<center>
# ELK日志系統(tǒng)使用說明 #
</center>


**k3與k4的對比**




1.界面美觀：Kibana4 至今未提供類似 Kibana3 中的 Query 設(shè)置功能，包括 Query 別名和顏色選擇器這兩個常用功能

2.日志顯示：kibana4有高亮顯示

3.頁面設(shè)計(jì)：Kibana3 就是一個圍繞著 dashboard 構(gòu)建的單頁應(yīng)用。在頁面邏輯上，Kibana3比較簡潔，Kibana4稍復(fù)雜。

<center>
##一、????系統(tǒng)介紹
</center>

?ELK（logstash+elasticsearch+kibana）是一套開源的實(shí)時(shí)日志分析系統(tǒng)。目前這套系統(tǒng)已經(jīng)在小范圍內(nèi)使用了。針對各位開發(fā)人員，無需關(guān)心系統(tǒng)底層的實(shí)現(xiàn)，只需關(guān)注kibana的使用即可。kibana4中，將功能拆分成了搜索（Discover），可視化（Visualize）和儀表盤(Dashboard)三個標(biāo)簽，我們使用最多的地方即是搜索，目前就給大家主要介紹搜索頁面的使用。


<center>
##二、????kibana4的使用
</center>

??登錄入口：運(yùn)維平臺-->應(yīng)用中心：ELK

??地址：https://op.zhubajie.la/

<center>
## 快速查詢項(xiàng)目日志
</center>
**選擇面板-->選擇項(xiàng)目**



首先選擇面板，搜索框輸入：tags:"項(xiàng)目名" 或host:"項(xiàng)目名" 即可查看對應(yīng)項(xiàng)目的日志

<center>
## discover 功能 ##
</center>
Discover 標(biāo)簽頁用于交互式探索你的數(shù)據(jù)。你可以訪問到匹配得上你選擇的索引模式的每個索引的每條記錄。你可以提交搜索請求，過濾搜索結(jié)果，然后查看文檔數(shù)據(jù)。你還可以看到匹配搜索請求的文檔總數(shù)，獲取字段值的統(tǒng)計(jì)情況。如果索引模式配置了時(shí)間字段，文檔的時(shí)序分布情況會在頁面頂部以柱狀圖的形式展示出來。

?

?**查看日志數(shù)據(jù)**


點(diǎn)擊日志內(nèi)容中的小三角，查看日志詳細(xì)內(nèi)容。
要在單獨(dú)的頁面上查看文檔內(nèi)容，點(diǎn)擊鏈接。你可以添加書簽或者分享這個鏈接，以直接訪問這條特定文檔。

**1) 搜索數(shù)據(jù)**

在 Discover 頁提交一個搜索，你就可以搜索匹配當(dāng)前索引模式的索引數(shù)據(jù)了。
當(dāng)你提交搜索的時(shí)候，直方圖，文檔表格，字段列表，都會自動反映成搜索的結(jié)果。hits(匹配的文檔)總數(shù)會在直方圖的右上角顯示。

*在搜索框內(nèi)輸入請求字符串*：

-?**通配符**：用 ? 表示單字母，* 表示任意個字母。比如 fir?t mess*。

-?**簡單的文本搜索**：直接輸入文本字符串。比如，如果你在搜索網(wǎng)站服務(wù)器日志，你可以輸入error 來搜索各字段中的 error單詞。

-?**搜索特定字段的值**：則在值前加上字段名。比如 status:200?

-?**范圍搜索**：對數(shù)值和時(shí)間，[START_VALUE TO END_VALUE]。比如，要查找 4xx 的狀態(tài)碼，status:[400 TO 499]。

-?**多個檢索條件的組合**：可以使用 NOT, AND 和 OR 來組合檢索，**注意必須是大寫**。比如，要查找 4xx 的狀態(tài)碼，還是 php 或 html 結(jié)尾的數(shù)據(jù)， status:[400 TO 499] AND (extension:php OR extension:html)。其中，[] 表示端點(diǎn)數(shù)值包含在范圍內(nèi)，{} 表示端點(diǎn)數(shù)值不包含在范圍內(nèi)。

-?近似搜索：用 ~ 表示搜索單詞可能有一兩個字母寫的不對。比如 frist~；



**2)??設(shè)置時(shí)間過濾器**

默認(rèn)的時(shí)間過濾器設(shè)置為最近 15 分鐘。你可以用頁面頂部的時(shí)間選擇器(Time Picker)來修改時(shí)間過濾器。
????
??

?**3)??日志索引設(shè)置**
??

-?Nginx日志索引：[logstash-nginx-*]

-?服務(wù)化Nginx日志索引：[api-nginx-]YYYY.MM.DD

-??Java日志索引：[logstash-jetty-]YYYY.MM.DD

-??php日志索引：[logstash-php-*]
?
-?mysql日志索引：[logstash-]YYYY.MM.DD

-??其他日志:[logstash-]YYYY.MM.DD （注：該索引為系統(tǒng)默認(rèn)索引，需搜索其他日志，請按步驟改變索引即可)



**4) 保存搜索**

你可以在 Discover 頁加載已保存的搜索面板，也可以用作 visualizations 的基礎(chǔ)。保存一個搜索，意味著同時(shí)保存下了搜索請求字符串和當(dāng)前選擇的索引模式。
<table>
<td>

保存當(dāng)前搜索：
????????1.點(diǎn)擊 Discover 工具欄的 Save Search 按鈕
????????2.輸入一個名稱，點(diǎn)擊 Save。
????
????加載一個已存搜索：
????
????????1.點(diǎn)擊 Discover 工具欄的 Load Search 按鈕 。
????
????????2.選擇你要加載的搜索。
????????????如果已保存的搜索關(guān)聯(lián)到跟你當(dāng)前選擇的索引模式不一樣的其他索引上，加載這個搜索也會切換當(dāng)前的已選索引模式。
</td>


</table>

????
??**5) 改變你搜索的索引**

當(dāng)你提交一個搜索請求，匹配當(dāng)前的已選索引模式的索引都會被搜索。當(dāng)前模式模式會顯示在搜索欄下方。要改變搜索的索引，需要選擇另外的模式模式。

要選擇另外的索引模式：

???(1).點(diǎn)擊 Discover 工具欄的 Settings 按鈕 。

???(2).從索引模式列表中選取你打算采用的模式。

?**6) 自動刷新頁面**

亦可以配置一個刷新間隔來自動刷新 Discover 頁面的最新索引數(shù)據(jù)。這回定期重新提交一次搜索請求。

設(shè)置刷新間隔后，會顯示在菜單欄時(shí)間過濾器的左邊。

要設(shè)置刷新間隔：

????????1.點(diǎn)擊菜單欄右上角的 Time Filter 。
????????2.點(diǎn)擊 Refresh Interval 標(biāo)簽。
????????3.從列表中選擇一個刷新間隔。
????????要想自動刷新數(shù)據(jù)，點(diǎn)擊??Auto-refresh 按鈕然后選擇一個自動刷新間隔：

???

開啟自動刷新后，Kibana 的頂部欄會出現(xiàn)一個暫停按鈕和自動刷新的間隔。點(diǎn)擊 Pause 按鈕可以暫停自動刷新。

注：在使用過程中若有疑問，請聯(lián)系蔣挺。謝謝合作。

轉(zhuǎn)載于:https://www.cnblogs.com/xfbc/p/5856957.html

總結(jié)

以上是生活随笔為你收集整理的Kibana4简单使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。