ELK系列-(一)Docker部署ELK核心组件
ELK系列-(二)LogStash数据处理的瑞士军刀
在第一篇中,我们分析了部署的整体架构,进行了ELK核心组件的安装。此处,我们将继续进行ELK系统的搭建。
系统架构图:
在前两篇文章中,我们完成了ELK的部署和Logstash的配置。现在让我们来认识一下ELK中的"K" - Kibana,这位数据可视化界的"毕加索"。
如果说Elasticsearch是数据的仓库,Logstash是数据的搬运工,那么Kibana就是一位才华横溢的艺术家,能够将枯燥的数据变成生动的图表。它不仅能让你轻松查询数据,还能制作出各种炫酷的可视化图表。
1. Kibana的主要功能
- Discover: 数据查询、分析神器
- Visualize: 可视化工具箱
- Dashboard: 仪表盘设计室
- Dev Tools: 开发者的游乐场
1. 访问Kibana
点开后就可以看到首页的界面,以及涵盖主要导航的侧边栏
2. 创建索引模式
在开始使用之前,我们需要告诉Kibana要展示哪些数据:
- 进入 Management → Stack Management → Index Patterns(数据视图)
-
点击 "Create index pattern”(创建数据视图)
小贴士: 索引模式就像是给Kibana的一张地图,告诉它数据藏在哪里。
1. Discover页面
在侧边栏点击Discover标签进入,这里就是数据的集中展现,你可以:
- 使用KQL(Kibana Query Language)搜索数据
- 查看原始日志
- 添加或删除字段
- 制作简单的统计图表
- 左侧可以选择要展示的页面
- 顶部可食用KQL查询
- 中间部分就集中展示了数据
2. 可视化创建
在Visualize中,你可以创建各种图表这里就交由大家自行探索啦:
- 饼图: 展示比例数据
- 线图: 展示趋势变化
- 地图: 展示地理分布
- 仪表盘: 展示关键指标
说到日志解析,不得不提到Kibana中内置的Grok调试器。我们先前在Logstash中提到的grok就可以在这里调试
1. 访问Grok调试器
2. 使用示例
假设我们有这样一条nginx访问日志:
可以使用以下Grok表达式解析: