Как использовать инструментальные панели и визуализации Kibana

Поиск обеспечивает простой и эффективный способ выбора определенного набора сообщений журнала. Синтаксис поиска довольно понятен и допускает логические операторы, подстановочные знаки и фильтрацию полей. Например, если вы хотите найти журналы доступа Nginx, созданные пользователями Google Chrome, вы можете выполнить поиск + type:" nginx-access "AND agent:" chrome "+. Вы также можете выполнять поиск по определенным узлам или диапазонам IP-адресов клиентов или любым другим данным, содержащимся в ваших журналах.

Создав поисковый запрос, который вы хотите сохранить, вы можете сделать это, щелкнув значок * Сохранить поиск *, а затем кнопку * Сохранить *, как показано в этой анимации:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/2-save-search.gif [Как сохранить поиск в Кибане]

Сохраненные поиски можно открыть в любое время, щелкнув значок * Загрузить сохраненный поиск *, и их также можно использовать при создании визуализаций.

Мы сохраним поиск + type:" nginx-access "+ как "type nginx access" и используем его для создания визуализации.

Чтобы создать визуализацию, сначала щелкните элемент меню * Визуализация *.

Решите, какой тип визуализации вы хотите, и выберите его. Мы создадим * вертикальную гистограмму *, которая является хорошей отправной точкой.

Теперь вы должны выбрать источник поиска. Вы можете создать новый поиск или использовать сохраненный поиск. Мы пойдем с последним методом и выберем * type nginx access * search, который мы создали ранее.

Сначала график предварительного просмотра с правой стороны будет представлять собой сплошную полосу (при условии, что в результате поиска были найдены сообщения журнала), поскольку он состоит только из оси Y «Count». То есть он просто отображает количество журналов, которые были найдены по указанному поисковому запросу.

Чтобы сделать визуализацию более полезной, давайте добавим к ней новые * корзины *.

Сначала добавьте сегмент * X-axis *, затем щелкните раскрывающееся меню * Aggregation * и выберите «Гистограмма даты». Если вы нажмете кнопку * Применить *, одиночная полоса разделится на несколько полос вдоль оси X. Теперь счетчик отображается в виде нескольких столбцов, разделенных на интервалы времени (которые можно изменить, выбрав интервал из раскрывающегося списка) - аналогично тому, что вы увидите на странице «Обнаружение».

Если мы хотим сделать график немного более интересным, мы можем нажать кнопку * Add Sub Aggregation *. Выберите тип ковша * Split Bars *. Щелкните раскрывающееся меню * Sub Aggregation * и выберите «Значимые условия», затем щелкните раскрывающееся меню * Field * и выберите «clientip.raw», затем щелкните поле * Size * и введите «10». Нажмите кнопку * Применить *, чтобы создать новый график.

Вот скриншот того, что вы должны увидеть на этом этапе:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/visualize-nginx-access.png [Настройки визуализации Kibana]

Если визуализируемые журналы были сгенерированы несколькими IP-адресами (т.е. к вашему сайту обращаются несколько человек), вы увидите, что каждая полоса будет разделена на цветные сегменты. Каждый цветной сегмент представляет количество журналов, сгенерированных по определенному IP-адресу (т.е. конкретного посетителя вашего сайта), и на графике будет отображаться до 10 различных сегментов (из-за настройки размера). Вы можете навести курсор мыши и щелкнуть любой из элементов на графике, чтобы перейти к конкретным сообщениям журнала.

Когда вы будете готовы сохранить визуализацию, щелкните значок * Сохранить визуализацию * рядом с верхом, затем назовите его и нажмите кнопку * Сохранить *.

Прежде чем перейти к следующему разделу, где мы покажем, как создать панель мониторинга, вы должны создать хотя бы еще одну визуализацию. Попробуйте изучить различные типы визуализации.

Например, вы можете создать круговую диаграмму из ваших 5 самых популярных типов журналов. Для этого нажмите * Визуализировать , затем выберите * Круговая диаграмма *. Затем используйте * новый поиск * и оставьте поиск как «» (т.е. все ваши логи). Затем выберите * Split Slices * bucket. Щелкните раскрывающийся список * Aggregation * и выберите «Значимые условия», щелкните раскрывающийся список * Field * и выберите «type.raw», затем щелкните поле * Size * и введите «5». Теперь нажмите кнопку * Применить * и сохраните визуализацию как «Топ 5».

Вот скриншот настроек, которые были только что описаны:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/pie-settings.png [Настройки круговой диаграммы]

Поскольку в нашем примере мы собираем только системные журналы и журналы доступа Nginx, на круговой диаграмме будет только два среза.

Когда вы закончите создавать визуализации, давайте перейдем к созданию панели управления Kibana.

Чтобы создать панель управления Kibana, сначала щелкните элемент меню * Dashboard *.

Если вы ранее не создавали панель мониторинга, вы увидите в основном пустую страницу с надписью «Готовы начать?». Если вы не видите этот экран (т.е. на панели инструментов уже есть визуализации), нажмите на значок * Новая панель инструментов * (справа от панели поиска), чтобы попасть туда.

Эта анимация демонстрирует, как можно добавить визуализации на панель инструментов:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/5-create-dashboard.gif [Создать панель управления Kibana]

Вот разбивка шагов, которые выполняются:

Выберите имя для своей панели инструментов перед сохранением.

Это должно дать вам хорошее представление о том, как создать панель управления. Идите вперед и создайте любые информационные панели, которые, по вашему мнению, могут вам понадобиться. Далее мы рассмотрим использование инструментальных панелей.

Панели мониторинга можно отфильтровать, введя поисковый запрос, изменив временной фильтр или щелкнув элементы в визуализации.

Например, если вы щелкнете по определенному цветному сегменту в гистограмме, Kibana позволит вам отфильтровать значимый термин, который представляет сегмент. Вот пример скриншота применения фильтра к панели инструментов:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/filter-dashboard.png [Фильтровать панель инструментов]

Не забудьте нажать кнопку * Применить сейчас *, чтобы отфильтровать результаты и перерисовать визуализации панели управления. Фильтры могут быть применены и удалены по мере необходимости.

Фильтры поиска и времени работают так же, как и на странице «Обнаружение», за исключением того, что они применяются только к подмножествам данных, представленным на панели мониторинга.

Когда вы добавляете новые поля в свои данные Logstash, например, если вы добавите фильтр для нового типа журнала, вам может потребоваться перезагрузить список полей. Необходимо перезагрузить список полей, если вы не можете найти отфильтрованные поля в Kibana, так как эти данные кэшируются только периодически.

Для этого щелкните пункт меню * Настройки *, затем нажмите «logstash- *» (в разделе * Шаблоны указателей *):

изображение: https: //assets.digitalocean.com/articles/elk/kibana/reload-field-list.png [Обновить список полей]

Затем нажмите желтую кнопку * Обновить список полей *. Нажмите кнопку * OK * для подтверждения.

Раздел «Объекты» позволяет редактировать, просматривать и удалять любые сохраненные панели мониторинга, поиски и визуализации.

Чтобы попасть туда, нажмите на пункт меню * Настройки *, затем подменю * Объекты *.

Здесь вы можете выбрать из вкладок, чтобы найти объекты, которые вы хотите редактировать, просматривать или удалять:

изображение: https: //assets.digitalocean.com/articles/elk/kibana/settings-objects.png [Редактировать сохраненные объекты]

На скриншоте мы выбрали дубликат визуализации. Его можно отредактировать, просмотреть или удалить, нажав соответствующую кнопку.