kibana中 discover功能简单使用

Discover 标签页用于交互式探索你的数据。你可以访问到匹配得上你选择的索引模式的每个索引的每条记录。你可以提交搜索请求,过滤搜索结果,然后查看文档数据。你还可以看到匹配搜索请求的文档总数,获取字段值的统计情况。如果索引模式配置了时间字段,文档的时序分布情况会在页面顶部以柱状图的形式展示出来。

file

设置时间过滤器

时间过滤器(Time Filter)限制搜索结果在一个特定的时间周期内。如果你的索引包含的是时序诗句,而且你为所选的索引模式配置了时间字段,那么就就可以设置时间过滤器。

默认的时间过滤器设置为最近 15 分钟。你可以用页面顶部的时间选择器(Time Picker)来修改时间过滤器,或者选择一个特定的时间间隔,或者直方图的时间范围。

要用时间选择器来修改时间过滤器:

  1. 点击菜单栏右上角显示的 Time Filter 打开时间选择器。
  2. 快速过滤,直接选择一个短链接即可。
  3. 要指定相对时间过滤,点击 Relative 然后输入一个相对的开始时间。可以是任意数字的秒、分、小时、天、月甚至年之前。
  4. 要指定绝对时间过滤,点击 Absolute 然后在 From 框内输入开始日期,To 框内输入结束日期。
  5. 点击时间选择器底部的箭头隐藏选择器。

要从柱状图上设置时间过滤器,有以下几种方式:

  • 想要放大那个时间间隔,点击对应的柱体。
  • 单击并拖拽一个时间区域。注意需要等到光标变成加号,才意味着这是一个有效的起始点。

你可以用浏览器的后退键来回退你的操作。

file

搜索数据

在 Discover 页提交一个搜索,你就可以搜索匹配当前索引模式的索引数据了。你可以直接输入简单的请求字符串,也就是用 Lucene query syntax,也可以用完整的基于 JSON 的 Elasticsearch Query DSL

当你提交搜索的时候,直方图,文档表格,字段列表,都会自动反映成搜索的结果。hits(匹配的文档)总数会在直方图的右上角显示。文档表格显示前 500 个匹配文档。默认的,文档倒序排列,最新的文档最先显示。你可以通过点击时间列的头部来反转排序。事实上,所有建了索引的字段,都可以用来排序,稍后会详细说明。

要搜索你的数据:

  1. 在搜索框内输入请求字符串:
    • 简单的文本搜索,直接输入文本字符串。比如,如果你在搜索网站服务器日志,你可以输入 safari 来搜索各字段中的 safari 单词。
    • 要搜索特定字段中的值,则在值前加上字段名。比如,你可以输入 status:200 来限制搜索结果都是在 status 字段里有 200 内容。
    • 要搜索一个值的范围,你可以用范围查询语法,[START_VALUE TO END_VALUE]。比如,要查找 4xx 的状态码,你可以输入 status:[400 TO 499]
    • 要指定更复杂的搜索标准,你可以用布尔操作符 AND, OR, 和 NOT。比如,要查找 4xx 的状态码,还是 phphtml 结尾的数据,你可以输入 status:[400 TO 499] AND (extension:php OR extension:html)

这些例子都用了 Lucene query syntax。你也可以提交 Elasticsearch Query DSL 式的请求。更多示例,参见之前 Elasticsearch 章节

  1. 点击回车键,或者点击 Search 按钮提交你的搜索请求。

开始一个新的搜索

要清除当前搜索或开始一个新搜索,点击 Discover 工具栏的 New 按钮。

保存搜索

你可以在 Discover 页加载已保存的搜索,也可以用作 visualizations 的基础。保存一个搜索,意味着同时保存下了搜索请求字符串和当前选择的索引模式。

要保存当前搜索:

  1. 点击 Discover 工具栏的 Save 按钮。
  2. 输入一个名称,点击 Save

加载一个已存搜索

要加载一个已保存的搜索:

  1. 点击 Discover 工具栏的 Open 按钮。
  2. 选择你要加载的搜索。

如果已保存的搜索关联到跟你当前选择的索引模式不一样的其他索引上,加载这个搜索也会切换当前的已选索引模式。

自动刷新页面

亦可以配置一个刷新间隔来自动刷新 Discover 页面的最新索引数据。这会定期重新提交一次搜索请求。

设置刷新间隔后,会显示在菜单栏时间过滤器的左边。

要设置刷新间隔:

  1. 点击菜单栏右上角的 Time Picker !
  2. 点击 Auto refresh 标签。
  3. 从列表中选择一个刷新间隔。

开启自动刷新后,Kibana 的顶部栏会出现一个暂停按钮和自动刷新的间隔,点击 || 按钮可以暂停自动刷新。

按字段过滤

你可以过滤搜索结果,只显示在某字段中包含了特定值的文档。也可以创建反向过滤器,排除掉包含特定字段值的文档。

你可以从字段列表或者文档表格里添加过滤器。当你添加好一个过滤器后,它会显示在搜索请求下方的过滤栏里。从过滤栏里你可以编辑或者关闭一个过滤器,转换过滤器(从正向改成反向,反之亦然),切换过滤器开关,或者完全移除掉它。

要从字段列表添加过滤器

  1. 点击你想要过滤的字段名。会显示这个字段的前 5 名数据。每个数据的右侧,有两个小按钮 —— 一个用来添加常规(正向)过滤器,一个用来添加反向过滤器。
  2. 要添加正向过滤器,点击 + 按钮。结果是只会显示包含改字段的文档记录。
  3. 要添加反向过滤器,点击 - 按钮 !,相反,结果是只会显示不包含改字段的文档记录。

file

要从文档表格添加过滤器

原理同上,当你将鼠标移动到某个字段上,会出现add或者remove按钮,点击add按钮即可添加相应的字段来显示在文档表格中。remove按钮即是把正在文档表格中显示的字段移除

file

过滤器(Filter)的协同工作方式

这个功能可能大家前期用的比较少,所以这里就不展开介绍了(因为我懒)。暂时请大家按照自个的需求自行了解.