Verwendung von Kibana Dashboards und Visualisierungen

Die Suche bietet eine einfache und leistungsstarke Möglichkeit, eine bestimmte Teilmenge von Protokollnachrichten auszuwählen. Die Suchsyntax ist ziemlich selbsterklärend und ermöglicht boolesche Operatoren, Platzhalter und Feldfilter. Wenn Sie beispielsweise nach Nginx-Zugriffsprotokollen suchen möchten, die von Google Chrome-Nutzern erstellt wurden, können Sie nach "+" suchen: "nginx-access" AND agent: "chrome" + ". Sie können auch nach bestimmten Hosts oder Client-IP-Adressbereichen oder nach anderen in Ihren Protokollen enthaltenen Daten suchen.

Wenn Sie eine Suchanfrage erstellt haben, die Sie behalten möchten, können Sie dies tun, indem Sie auf das Symbol * Suche speichern * und anschließend auf die Schaltfläche * Speichern * klicken, wie in der folgenden Animation dargestellt:

image: https://assets.digitalocean.com/articles/elk/kibana/2-save-search.gif [So speichern Sie eine Kibana-Suche]

Gespeicherte Suchen können jederzeit durch Klicken auf das Symbol * Gespeicherte Suche laden * geöffnet werden. Sie können auch beim Erstellen von Visualisierungen verwendet werden.

Wir speichern die Zeichenfolge "+": "nginx-access" + "search" als "type nginx access" und erstellen daraus eine Visualisierung.

Um eine Visualisierung zu erstellen, klicken Sie zunächst auf den Menüpunkt * Visualisieren *.

Entscheiden Sie, welche Art von Visualisierung Sie möchten, und wählen Sie sie aus. Wir erstellen ein * vertikales Balkendiagramm *, das ein guter Ausgangspunkt ist.

Nun müssen Sie eine Suchquelle auswählen. Sie können entweder eine neue Suche erstellen oder eine gespeicherte Suche verwenden. Wir werden uns für die letztere Methode entscheiden und die zuvor erstellte Suche * type nginx access * auswählen.

Das Vorschaudiagramm auf der rechten Seite ist zunächst ein durchgehender Balken (vorausgesetzt, Ihre Suche hat Protokollmeldungen gefunden), da es nur aus einer Y-Achse der „Anzahl“ besteht. Das heißt, es wird lediglich die Anzahl der Protokolle angezeigt, die mit der angegebenen Suchabfrage gefunden wurden.

Um die Visualisierung nützlicher zu gestalten, fügen wir einige neue * Buckets * hinzu.

Fügen Sie zunächst einen Bucket * X-axis * hinzu, klicken Sie dann auf das Dropdown-Menü * Aggregation * und wählen Sie "Date Histogram". Wenn Sie auf die Schaltfläche * Übernehmen * klicken, wird der einzelne Balken entlang der X-Achse in mehrere Balken aufgeteilt. Jetzt wird die Anzahl als mehrere Balken angezeigt, die in Zeitintervalle unterteilt sind (die durch Auswahl eines Intervalls in der Dropdown-Liste geändert werden können) - ähnlich wie auf der Erkennungsseite.

Wenn wir das Diagramm etwas interessanter gestalten möchten, können wir auf die Schaltfläche * Subaggregation hinzufügen * klicken. Wählen Sie den Bucket-Typ * Split Bars *. Klicken Sie auf das Dropdown-Menü * Sub Aggregation * und wählen Sie "Significant Terms" aus. Klicken Sie dann auf das Dropdown-Menü * Field * und wählen Sie "clientip.raw" aus. Klicken Sie dann auf das Feld * Size * und geben Sie "10" ein. Klicken Sie auf die Schaltfläche * Übernehmen *, um das neue Diagramm zu erstellen.

Hier ist ein Screenshot von dem, was Sie an dieser Stelle sehen sollten:

image: https://assets.digitalocean.com/articles/elk/kibana/visualize-nginx-access.png [Kibana Visualization Settings]

Wenn die angezeigten Protokolle von mehreren IP-Adressen generiert wurden (d. H. Wenn mehr als eine Person auf Ihre Site zugreift, sehen Sie, dass jeder Balken in farbige Segmente unterteilt ist. Jedes farbige Segment stellt die Anzahl der Protokolle dar, die von einer bestimmten IP-Adresse (d. H. ein bestimmter Besucher Ihrer Site) und das Diagramm zeigt die bis zu 10 verschiedenen Segmente (aufgrund der Größeneinstellung). Sie können mit der Maus auf eines der Elemente im Diagramm klicken, um einen Drilldown zu bestimmten Protokollnachrichten durchzuführen.

Wenn Sie bereit sind, Ihre Visualisierung zu speichern, klicken Sie oben auf das Symbol * Save Visualization * (Visualisierung speichern), benennen Sie es und klicken Sie auf die Schaltfläche * Save * (Speichern).

Bevor Sie mit dem nächsten Abschnitt fortfahren, in dem wir zeigen, wie ein Dashboard erstellt wird, sollten Sie mindestens eine weitere Visualisierung erstellen. Probieren Sie die verschiedenen Visualisierungstypen aus.

Sie können beispielsweise ein Kreisdiagramm der fünf besten Protokolltypen (höchste Anzahl) erstellen. Klicken Sie dazu auf * Visualisieren * und wählen Sie * Kreisdiagramm . Verwenden Sie dann eine * neue Suche * und lassen Sie die Suche als "" (d. H. alle Ihre Protokolle). Wählen Sie dann den Bucket * Split Slices *. Klicken Sie auf die Dropdown-Liste * Aggregation * und wählen Sie "Significant Terms" aus. Klicken Sie auf die Dropdown-Liste * Field * und wählen Sie "type.raw" aus. Klicken Sie dann auf das Feld * Size * und geben Sie "5" ein. Klicken Sie nun auf die Schaltfläche * Übernehmen * und speichern Sie die Visualisierung als “Top 5”.

Hier ist ein Screenshot der Einstellungen, die gerade beschrieben wurden:

image: https://assets.digitalocean.com/articles/elk/kibana/pie-settings.png [Tortendiagrammeinstellungen]

Da in unserem Beispiel nur Syslogs und Nginx-Zugriffsprotokolle erfasst werden, enthält das Kreisdiagramm nur zwei Segmente.

Nachdem Sie die Visualisierungen erstellt haben, können Sie ein Kibana-Dashboard erstellen.

Um ein Kibana-Dashboard zu erstellen, klicken Sie zunächst auf den Menüpunkt * Dashboard *.

Wenn Sie zuvor noch kein Dashboard erstellt haben, wird meistens eine leere Seite mit dem Titel "Bereit für den Einstieg?" Angezeigt. Wenn Sie diesen Bildschirm nicht sehen (d. H. Es sind bereits Visualisierungen im Dashboard vorhanden. Klicken Sie auf das Symbol * Neues Dashboard * (rechts neben der Suchleiste), um dorthin zu gelangen.

Diese Animation zeigt, wie Sie Ihrem Dashboard Visualisierungen hinzufügen können:

image: https://assets.digitalocean.com/articles/elk/kibana/5-create-dashboard.gif [Kibana-Dashboard erstellen]

Hier ist eine Aufschlüsselung der Schritte, die ausgeführt werden:

Wählen Sie einen Namen für Ihr Dashboard, bevor Sie es speichern.

Dies sollte Ihnen eine gute Vorstellung davon geben, wie Sie ein Dashboard erstellen. Erstellen Sie alle Dashboards, die Sie für wünschenswert halten. Als Nächstes werden Dashboards verwendet.

Dashboards können weiter gefiltert werden, indem Sie eine Suchanfrage eingeben, den Zeitfilter ändern oder auf die Elemente in der Visualisierung klicken.

Wenn Sie beispielsweise im Histogramm auf ein bestimmtes Farbsegment klicken, können Sie mit Kibana nach dem aussagekräftigen Begriff filtern, den das Segment darstellt. Hier ist ein Screenshot eines Beispiels zum Anwenden eines Filters auf ein Dashboard:

image: https://assets.digitalocean.com/articles/elk/kibana/filter-dashboard.png [Dashboard filtern]

Klicken Sie unbedingt auf die Schaltfläche "Jetzt anwenden", um die Ergebnisse zu filtern und die Visualisierungen des Dashboards neu zu zeichnen. Filter können nach Bedarf angewendet und entfernt werden.

Die Such- und Zeitfilter funktionieren genauso wie auf der Discover-Seite, mit der Ausnahme, dass sie nur auf die im Dashboard angezeigten Datenteilmengen angewendet werden.

Wenn Sie Ihren Logstash-Daten neue Felder hinzufügen, z. Wenn Sie einen Filter für einen neuen Protokolltyp hinzufügen, müssen Sie möglicherweise Ihre Feldliste neu laden. Wenn Sie in Kibana keine gefilterten Felder finden können, müssen Sie die Feldliste neu laden, da diese Daten nur in regelmäßigen Abständen zwischengespeichert werden.

Klicken Sie dazu auf den Menüpunkt * Einstellungen * und dann auf “logstash- *” (unter * Indexmuster *):

image: https://assets.digitalocean.com/articles/elk/kibana/reload-field-list.png [Feldliste neu laden]

Klicken Sie dann auf die gelbe Schaltfläche * Feldliste neu laden *. Klicken Sie zur Bestätigung auf die Schaltfläche * OK *.

Im Bereich Objekte können Sie gespeicherte Dashboards, Suchen und Visualisierungen bearbeiten, anzeigen und löschen.

Um dorthin zu gelangen, klicken Sie auf den Menüpunkt * Einstellungen * und dann auf das Untermenü * Objekte *.

Hier können Sie auf den Registerkarten die Objekte auswählen, die Sie bearbeiten, anzeigen oder löschen möchten:

image: https://assets.digitalocean.com/articles/elk/kibana/settings-objects.png [Gespeicherte Objekte bearbeiten]

Im Screenshot haben wir eine doppelte Visualisierung ausgewählt. Sie können sie bearbeiten, anzeigen oder löschen, indem Sie auf die entsprechende Schaltfläche klicken.