在logstash的config文件下的agent.conf加入以下配置start_position =>"beginning"#检查时间戳二、kibana语言设置vim config/kibana.ymli18n.locale: "en" 或者zh-CN中文systemctl restart kibana重启即可安装配置重新加载systemctl配置,这个是针对centos7以上使用systemctl kibana restart命令的
systemctl daemon-reload这里由于是二进制的安装方法,所以要设置一个systemctl start kibana.service的启动方法
1. vim /usr/lib/systemd/system/kibana.service添加以下内容[Unit]Description=KibanaAfter=network.target[Service]ExecStart=/usr/local/kibana/bin/kibanaType=simplePIDFile=/usr/local/kibana/kibana.pidRestart=always#User=es 这里我直接使用root用户进行启动#Group=es[Install]WantedBy=default.target2. 重新加载一下配置文件systemctl daemon-reload3. 启动systemctl start kibana.service4. 访问测试http://10.5.2.220:5601查询语法参考地址1 参考地址2 参考地址3https://blog.csdn.net/u013958257/article/details/88567581
kibana查询语法基于Lucene
Lucene是apache软件基金会4 jakarta项目组的一个子项目,是一个开放源代码的全文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的查询引擎和索引引擎,部分文本分析引擎(英文与德文两种西方语言) 。Lucene的目的是为软件开发人员提供一个简单易用的工具包,以方便的在目标系统中实现全文检索的功能,或者是以此为基础建立起完整的全文检索引擎 。Lucene是一套用于全文检索和搜寻的开源程式库,由Apache软件基金会支持和提供 。Lucene提供了一个简单却强大的应用程式接口,能够做全文索引和搜寻 。在Java开发环境里Lucene是一个成熟的免费开源工具 。就其本身而言,Lucene是当前以及最近几年最受欢迎的免费Java信息检索程序库 。人们经常提到信息检索程序库,虽然与搜索引擎有关,但不应该将信息检索程序库与搜索引擎相混淆 。Lucene最初是由Doug Cutting开发的,在SourceForge的网站上提供下载 。在2001年9月作为高质量的开源Java产品加入到Apache软件基金会的 Jakarta家族中kibana在ELK阵营中用来查询展示数据elasticsearch构建在Lucene之上,过滤器语法和Lucene相同
1. 根据某个字段查询精确匹配: agent:"Mozilla/5.0"如果不带双引号,只要包含指定值就可以搜索到 agent:Mozilla/5.0如果是数值类型没有以上区别2. 数组范围查询[7758794 TO 7758794] 表示等于,原意思是一个区间范围指定区间: response:[100 TO 200]大于等于指定数值的: response:[201 TO *]小于等于指定数值的: response:[* TO 200]3. 从指定时间到现在/或者查询指定时间前数据2015-05-20T09:20:41.943Z之后的数据: @timestamp:{2015-05-20T09:20:41.943Z TO *}2015-05-20T09:20:41.943Z之前的数据: @timestamp:{* TO 2015-05-20T09:20:41.943Z }指定时间范围: @timestamp:{2015-05-20T09:20:41.943Z TO 015-05-22T09:20:41.943Z}备注:09:20:41事实上是17:20:41,存在8个小时差4. 正则匹配包含指定值: request:/uploads*/不包含指定值: !request:/uploads*/5. 逻辑查询AND(与关系数据库一样) request:/uploads*/ AND response:404OR(与关系数据库一样) request:/uploads*/ OR response:200组合查询: (uid OR token) AND version6. 存在/不存在存在host字段但不存在url字段: _exists_:host AND _missing_:url特殊转义字符+ – && || ! () {} [] ^” ~ * ? :
文章插图
kibana创建索引模式(手动)https://blog.csdn.net/weixin_34727238/article/details/81540692
当在els中有了当天的索引,就可以到kibana中取创建索引模式了,只是这里提供了一手动创建的方式,无法自动进行,需要本地定义脚本的方式进行自动索引的创建 。
文章插图
等所有索引都创建完毕后,在下面就能看到了
文章插图
然后在下面这个里面就能看到我们的索引里面的数据情况了,前提是你的logstash成功将切割后的日志发送到了els中
文章插图
否则就是以下这种的
文章插图
kibana创建索引模式(自动)
由于logstash客户端运行的问题,只要有当天日志产生,就会将该日志发送给elasticsearch,然后会在elasticsearch里面产生一个新的索引
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 高清多图 利用ELK分析Nginx日志生产实战
- 你真的知道全息术什么意思吗?可千万别用错了。
- 虾仁|千万网红痞幼挑战18cm美甲,挖耳勺、玩具雕成饰品,网友:吓人
- 发票|职场千万不能犯的傻!看不清这些关卡,你只能眼看别人升职加薪!!!
- 茶叶蛋千万不能多吃,吃茶叶蛋上火吗
- 退休|“装修工位”成员达到7.4万,千万社畜在职场完成“退休”
- 知乎千万级高性能长连接网关是如何搭建的
- 女性冬季中如何做好养生 八事项千万不能大意
- 新宿|陪酒女王一夜狂赚千万,自称不卖身只卖艺?
- 在国企,能改变命运的只有你自己,千万不要话太多,意见太多
