一、查看数据

正常情况下，访问kibana，点击Discover，出现的效果如下图：

选择一条日志，选择json，可这条日志转换为json格式。

可以把某一字段和值当做搜索的条件，对于数字字段可以使用比较运算符，例如大于（>）、小于（<）或等于（=）。可以使用逻辑运算符 AND，OR 和 NOT 连接搜索条件，这些运算符需要全部大写。例如：

 

account_number:<100 AND balance:>47500

每个匹配的文档默认显示所有字段。可以将鼠标悬停在可用字段上并点击您想要展示字段旁边的 add 按钮来添加需要展示的字段。例如，如果您仅仅添加 account_number ，就只会显示5个简单的账户号码的列表：

 

二、数据探索

1、时间过滤：

1. 点击 Kibana 工具栏中的 Time Picker  。
2. 可以通过点击一个时间段设置快速过滤。
   
3. 可以基于当前时间来设置相对时间过滤器，点击 Relative 后选择数字和时间单位（秒、分、时、天、月、年）来指定当前时间多久之前是开始时间。也可以用同样的方式指定当前多久之后为结束时间。相对时间既可以是过往也可以是将来。
   
4. 可以点击 Absolute ，通过修改 To 和 From 字段直接指定开始时间和结束时间。
   
5. 点击工具条下方最右侧的脱字符图标来关闭 Time Picker 。

2、搜索数据：

可以在当前索引模式匹配索引进行搜索，也可以直接在搜索框中搜索关键字。

保存搜索：

1. 点击 Kibana 工具栏的 Save 。
2. 输入搜索的名称然后点击 Save 。
3. 在 Management/Kibana/Saved Objects 导入、导出或删除已经保存的搜索。

 

打开已保存的搜索：

1. 在 Kibana 工具栏点击 Open 。
2. 选择要打开的搜索。

 

自动刷新：

点击 Auto refresh ，在列表中选择刷新频率。

 

3、查看日志上下文：

点击日志列表左侧的expand按钮

 

详细日志出现后，点击View Surrounding Documents，即可查看该条日志的上下文。

 

 

三、可视化数据

饼图：

要指定要在饼图中显示哪些切片，可以使用Elasticsearch的bucket聚合，此聚合将匹配搜索条件的文档排序为不同的类别，也称为bucket。

使用bucket聚合来建立多个帐户余额范围，并找出每个范围中有多少帐户。

1. 在Buckets窗格中，点击Split Slices。
2. 在Aggregation下拉菜单中，选择Range。
3. 在Field下拉菜单中，选择balance。
4. 点击Add Range 4次，使范围总数达到6个。
5. 定义以下范围：

0             999
1000         2999
3000         6999
7000        14999
15000       30999
31000       50000

1. 点击Apply changes。

 

柱状图：

设置x、y坐标字段即可

 

 

坐标图：

使用坐标图，你可以在日志文件示例数据中可视化地理信息。

1. 创建一个Coordinate map，并将搜索源设置为logstash*（已创建好的索引模版）。
2. 在顶部的菜单栏中，单击最右边的时间选择器。
3. 点击Absolute。
4. 将开始时间设置为2015年5月18日，结束时间设置为2015年5月20日。
5. 点击Go。

你还没有定义任何桶，所以可视化是世界地图。

现在，从日志文件映射地理坐标。

1. 在Buckets窗格中，单击Geo Coordinates。
2. 将Aggregation设置为Geohash，将Field设置为geo.coordinate。
3. 点击Apply changes。

现在地图看起来像这样：

你可以通过点击并拖动来导航地图，地图左上角的控件使你能够缩放地图并设置过滤器，试一下。