这段时间公司一个新的产品线上线，通过部署elasticsearch+logstash+kibana实现日志实时查看，并开放访问接口给开访问人员，让运维从枯燥的日志查询工作中解放出来。ELK 平台最大的亮点是，可以通过关键词，定位出问题的物理服务器和时间段，集群环境中相当实用。
    kibana简单实用手册。
    

 

1       ELK kibana使用

ELK elasticsearch+logstash+kibana , 主要介绍kibana web工具使用。

1.1      界面介绍

1.1.1         QUERY

输入内容后进行全文检索

1.1.2         FILERING

手动指定过滤条件，默认是显示当天所有日志

1.1.3         ALL EVENTS

显示满足条件的日志，默认显示500条，可手动调整；

1.1.1         Fileds

指定所有显示的内容，主要字段具体意义如下：

@timestamp 时间。精确到毫秒；

host 主机名。为产生日志的服务器的主机名；

_type,type      类型。具体为子系统名称。如 XXXX-interface

message  信息。为日志具体类容信息；

path        路径。在服务器上的日志存放路径；

通过勾选的方式，可以指定显示那些内容，默认情况下全部显示。

1.2      查询演示

1.2.1         复合查询

       复合查询，可以使用多个查询字段同时进行查询，查询指定业务子系统指定时间段日志信息。主页面中 “Fields”显示的字段，都可以作为查询单独字段或者多个字段进行查询，相当于多个and匹配。

1.2.1.1  指定查询字段

1)点击主页面中任意一条记录，显示如下：

 

2）点击上图红色箭头标记字段的后面的放大镜，这样表示过滤出 “XXXX-interface”子系统的日志。

1.2.1.2  添加多个字段

按照"1.2.1.1" 操作，进行其他字段添加。

1.2.1.3  修改查询类容

1）返回页面的顶部，点击 “FILTERING”后面的箭头，显示出你前一步已经选择的字段。

2）点击对应字段的编辑输入按钮

 3）输入你在该字段要查询的关键词，点击“Apply”。

1.2.1.4  修改时间段

1）点击主界面右上角 “a day ago to few seconds ago”后面的三角型，可以指定显示默认时间段的日志信息。

2）点击下拉菜单中的 “Custome”选择自定义时间段，手动修改查询的起始和结束时间（可以精确到毫秒），点击 “Apply”。

1.2.2         日志前后记录

当已通过关键词组合查询到了需要的一条记录，但是需要查询该条日志前后相关联的日志。首选确定该条日志出现的时间，然后通过指定“时间段+服务器+子系统”方式找到前后相关记录。

1.2.3         定位出问题主机

通过直接搜索关键词，然后查看详细信息，可以快速定位出现日志的物理主机和出问题时间段。

2     其他功能

       当使用者关闭浏览器时候，对应设置将不会保存。

2.1     临时界面颜色修改

1）点击主界面右上角 齿轮 。

2）点击 “General“ 下的 “Sytle”, 设定为 ”light“ 点击 ”save“

2.2  永久界面颜色修改

  在安装kibana 目录下 app/dashboards/logstash.json 文件。将  "style": "{{ARGS.style || 'dark'}}" 改为 "style": "{{ARGS.style || 'light'}}"

2.2      显示条数修改

       默认每页显示100条记录，一共5页

1）“All EVENTS”所在行的最尾部，点击 齿轮

2）点击 “Paging”标签页进行每页条目和页数的设置，点击 “Save”