Kibana 使用说明

Lucene查询语法

Kibana查询语言基于Lucene查询语法。下面是一些提示：

    为了执行一个文本搜索，可以简单的输入一个文本字符串。例如，如果你想搜索web服务器的日志，你可以输入关键字"safari"，这样你就可以搜索到所有有关"safari"的字段。
    为了搜索一个特定字段的特定值，可以用字段的名称作为前缀。例如，你输入"status:200"，将会找到所有status字段的值是200的文档。
    为了搜索一个范围值，你可以用括号范围语法，[START_VALUE TO END_VALUE]。例如，为了找到状态码是4xx的文档，你可以输入status:[400 TO 499]。
    为了指定更加复杂的查询条件，你可以用布尔操作符 AND , OR 和 NOT。例如，为了找到状态码是4xx并且extension字段是php或者html的文档，你可以输入status:[400 TO 499] AND (extension:php OR extension:html)。

Kibana查询语法增强（新的更简单的语法）

如果你熟悉Kibana的旧Lucene查询语法，那么你应该对这种新的语法也不会陌生。基本原理保持不变，我们只是简单地改进了一些东西，使查询语言更易于使用。

• response:200 将匹配response字段的值是200的文档
• 用引号引起来的一段字符串叫短语搜索。例如，message:"Quick brown fox" 将在message字段中搜索"Quick brown fox"这个短语。如果没有引号，将会匹配到包含这些词的所有文档，而不管它们的顺序如何。这就意味着，会匹配到"Quick brown fox"，而不会匹配"quick fox brown"。（画外音：引号引起来作为一个整体）
• 查询解析器将不再基于空格进行分割。多个搜索项必须由明确的布尔运算符分隔。注意，布尔运算符不区分大小写。

在Lucene中，response:200 extension:php 等价于 response:200 and extension:php。这将匹配response字段值匹配200并且extenion字段值匹配php的文档。

如果我们把中间换成or，那么response:200 or extension:php将匹配response字段匹配200 或者 extension字段匹配php的文档。

默认情况下，and 比 or 具有更高优先级：

response:200 and extension:php or extension:css 将匹配response是200并且extension是php，或者匹配extension是css而response任意的文档。等价于：(response:200 and extension:php) or extension:css

括号可以改变这种优先级：

response:200 and (extension:php or extension:css) 将匹配response是200并且extension是php或者css的文档。

还有一种简写的方式：

response:(200 or 404) 将匹配response字段是200或404的文档。字符值也可以是多个，比如：tags:(success and info and security)。

还可以用not：

not response:200 将匹配response不是200的文档。

response:200 and not (extension:php or extension:css) 将匹配response是200并且extension不是php也不是css的文档。

• 范围检索和Lucene有一点点不同

代替 byte:>1000，可使用byte > 1000。

>, >=, <, <= 都是有效的操作符。

response:* 将匹配所有存在response字段的文档。

通配符查询也是可以的。machine.os:win* 将匹配machine.os字段以win开头的文档，像"windows 7"和"windows 10"这样的【值】都会被匹配到。

通配符也允许我们一次搜索多个【字段】，例如，假设我们有machine.os和machine.os.keyword两个字段，我们想要搜索这两个字段都有"windows 10"，那么我们可以这样写"machine.os*:windows 10"。

Visualize

Visualize使得你可以创建在你的Elasticsearch索引中的数据的可视化效果。然后，你可以构建dashboard来展示相关可视化。

Kibana可视化是基于Elasticsearch查询的。通过用一系列的Elasticsearch聚集来提取并处理你的数据，你可以创建图片来显示你需要了解的趋势、峰值和低点。

创建一个可视化

创建一个可视化的视图步骤：

第1步：点击左侧导航条中的“Visualize”按钮

第2步：点击“Create new visualization”按钮或者加号(+)按钮

第3步：选择一个可视化类型

第4步：指定一个搜索查询来检索可视化数据

第5步：在可视化的构建器中选择Y轴的聚合操作。例如，sum，average，count等等

第6步：设置X轴

Dashboard

Kibana仪表板显示可视化和搜索的集合。你可以安排、调整和编辑仪表板内容，然后保存仪表板以便共享它。

构建一个Dashboard

第1步：在导航条上点击“Dashboard”

第2步：点击“Create new dashboard”或者“加号(+)”按钮

第3步：点击“Add”按钮

第4步：为了添加一个可视化，从可视化列表中选择一个，或者点击“Add new visualization”按钮新创建一个

第5步：为了添加一个已保存的查询，点击“Saved Search”选项卡，然后从列表中选择一个

第6步：当你完成添加并且调整了dashboard的内容后，去顶部菜单栏，点击“Save”，然后输入一个名字

默认情况下，Kibana仪表板使用浅色主题。要使用深色主题，单击“选项”并选择“使用深色主题”。要将dark主题设置为默认，请转到管理>Management > Advanced ，并将dashboard:defaultDarkTheme设置为On。