elk安装完成,打开Kibana看到这个,你大概会一头雾水。点哪里看日志呢?点哪哪不是。
这就需要简单了解下Kibana的原理:
Kibana 在整个 elk 中起到数据可视化的作用,也就是通过图、 表、统计等方式将复杂的数据以更直观的形式展示出来。由于 Kibana 运行于 Elasticsearch 基础之上,所以可以将 Kibana 视为 Elasticsearch 的用户图形界面。
文档发现 ( Discover)
提供了交互式检索文档的接口,用户可以在这里提交查询条件、设置过滤器并查看检索结果。在文档发现中的查询条件还可以保存起来,这些保存起来的查询条件称为 查询对象,可以在文档可视化和仪表盘功能中使用。
索引模式
在使用文档发现功能检索文档之前,首先要告诉 Kibana 要检索 Elastiesearch 的哪些索引,这在 Kibana 中是通过定义 索引模式 来实现的。没有被索引模式包含进来的索引不能在文档发现、文档可视化和仪表盘等功能中使用,如何创建索引模式?
创建索引模式
索引模式是一种对 Elasticsearch 中索引的模式匹配,以定义哪些索引将被包含到这个模式中。它以索引名称为基础,可以匹配单个索引也可以使用星号“* ” 匹配多个索引。例如在添加样本数据时,Kibana 会创建索引模式(Index pattern ),样本可视化效果和仪表板。所以,我们可以先添加一个样本数据,选择web logs添加。索引模式的管理功能位于 Management 菜单中。
之后Add data会变成多项选择->选log,就能看到样本的日志了。
接下来我们来添加自己的数据,需要自己创建一个 Kibana 索引模式。
进这个页面->点击 Kibana下的 Index Patten->点创建
这里你输入smqtt*就会匹配Logstash Indexer那边创建的索引了->下一步
还记得Logstash的Indexer的配置吗?这里的索引就是logstash那边配置的。
input {redis {host => "x.x.x.x" # redis主机地址port => 6379 # redis端口号password => "xxx"db => 4 # redis数据库编号data_type => "channel" # 使用发布/订阅模式key => "logstash_list_smqtt_0" # 发布通道名称}}filter {#定义数据的格式#grok {#不要拆分message字段数据#}#Rename some of the beats fields due to 6.3.0 beats changes#以下规则,处理这个问题:Could not index event to Elasticsearch,后面filebeat删除host可能就不需要了mutate {rename => { "[host][name]" => "host" }}}output {stdout {}elasticsearch {hosts => "localhost:9200"index => "smqtt"}}
然后这里就会列出我们刚才添加smqtt*,我们切换一下。
这样我们就能看到我们自己的日志了
左边有个Available Fields,这里我们可以选下log_src字段和message字段就足够了。log_src是filebeat配置的日志来源。
长按识别二维码获取
更多精彩
coding之光
点个在看你最好看
