vlambda博客
学习文章列表

elk安装完成，打开Kibana看到这个，你大概会一头雾水。点哪里看日志呢？点哪哪不是。

这就需要简单了解下Kibana的原理： 

Kibana 在整个 elk 中起到数据可视化的作用，也就是通过图、 表、统计等方式将复杂的数据以更直观的形式展示出来。由于 Kibana 运行于 Elasticsearch 基础之上，所以可以将 Kibana 视为 Elasticsearch 的用户图形界面。

文档发现 ( Discover)

提供了交互式检索文档的接口，用户可以在这里提交查询条件、设置过滤器并查看检索结果。在文档发现中的查询条件还可以保存起来，这些保存起来的查询条件称为 查询对象，可以在文档可视化和仪表盘功能中使用。

索引模式

在使用文档发现功能检索文档之前，首先要告诉 Kibana 要检索 Elastiesearch 的哪些索引，这在 Kibana 中是通过定义 索引模式 来实现的。没有被索引模式包含进来的索引不能在文档发现、文档可视化和仪表盘等功能中使用，如何创建索引模式？

创建索引模式

索引模式是一种对 Elasticsearch 中索引的模式匹配，以定义哪些索引将被包含到这个模式中。它以索引名称为基础，可以匹配单个索引也可以使用星号“* ” 匹配多个索引。例如在添加样本数据时，Kibana 会创建索引模式（Index pattern )，样本可视化效果和仪表板。所以，我们可以先添加一个样本数据，选择web logs添加。索引模式的管理功能位于 Management 菜单中。

之后Add data会变成多项选择->选log，就能看到样本的日志了。

接下来我们来添加自己的数据，需要自己创建一个 Kibana 索引模式。

进这个页面->点击 Kibana下的 Index Patten->点创建

这里你输入smqtt*就会匹配Logstash Indexer那边创建的索引了->下一步

还记得Logstash的Indexer的配置吗？这里的索引就是logstash那边配置的。

input { redis { host => "x.x.x.x" # redis主机地址 port => 6379 # redis端口号        password => "xxx" db => 4 # redis数据库编号 data_type => "channel" # 使用发布/订阅模式 key => "logstash_list_smqtt_0" # 发布通道名称 }}
filter {#定义数据的格式#grok {#不要拆分message字段数据#}
#Rename some of the beats fields due to 6.3.0 beats changes#以下规则，处理这个问题：Could not index event to Elasticsearch,后面filebeat删除host可能就不需要了 mutate { rename => { "[host][name]" => "host" } }}
output { stdout {} elasticsearch { hosts => "localhost:9200"        index => "smqtt" }
}

然后这里就会列出我们刚才添加smqtt*,我们切换一下。

这样我们就能看到我们自己的日志了

左边有个Available Fields，这里我们可以选下log_src字段和message字段就足够了。log_src是filebeat配置的日志来源。

更多精彩

coding之光