Kibana 是一款开源的数据分析和可视化平台,它是 Elastic Stack 成员之一,设计用于和 Elasticsearch 协作。
快速创建图表
kibana首页>>Visualize可视化>>创建可视化>>Lens可视化>>将左侧字段拖到中间的图表区就可以生成图表了,图表下方有几个图表类型可选。
KQL(Kibana Query Language)
Kibana 查询语言 (KQL) 可让您轻松找到 Elasticsearch 查询的字段和语法。
KQL支持数字和日期类型的范围查询:>, >=, <, <=
// Terms query
response:200
message:"quick brown fox"
message:quick brown fox // 不加双引号,不管quick、brown、fox三者出现的顺序,比如会找到quick fox brown
// Boolean queries
response:200 and extension:php
response:200 or extension:php
response:(200 or 404)
response:200 and (extension:php or extension:css)
response:200 and extension:php or extension:css
not response:200
response:200 and not (extension:php or extension:css)
tags:(success and info and security) //To match multi-value fields that contain a list of terms。应该是数组之类的包含指定元素
// Range queries
account_number >= 100 and items_sold <= 200
// Date range queries
@timestamp < "2021-01-02T21:55:59"
@timestamp < "2021-01"
@timestamp < "2021"
// Exist queries
response:* // 指定字段有值的文档
// Wildcard queries 通配符查询
machine.os:win*
machine.os*:windows 10 //字段有text and keyword版本时比较方便,会查machine.os 和 machine.os.keyword中的 windows 10。
// Nested field queries 嵌套字段查询
items:{ name:banana and stock > 10 }
items:{ name:banana and stock:9 }
items:{ name:banana } and items:{ stock:9 } // 两个嵌套组分别起作用,似乎是or的作用,没试过未确定
items:{ name:banana and stock > 10 } and items:{ category:vegetable }//两个嵌套组分别起作用,似乎是or的作用,没试过未确定
level1.level2:{ prop1:foo and prop2:bar } // 嵌套字段位于其他嵌套字段内
匹配message字段中含有短语“quick brown fox”的文档message。
如果没有引号,查询将匹配文档,而不管它们出现的顺序如何。包含“quick brown fox”的文档将匹配,包含“quick fox brown”的文档也将匹配。
不含字段的搜索词将与索引设置中的默认字段进行匹配。如果未设置默认字段,搜索词将与所有字段进行匹配。例如,查询会response:200在响应字段中搜索值 200,而查询只会200在索引的所有字段中搜索 200。
