索引模式
要使用Kibana,您需要通过配置一个或多个索引模式来告诉它您想探索的 Elasticsearch 索引。您也可以:
- 通过对您数据的实时计算创建脚本化字段,您可以浏览和可视化脚本化字段,但是不能搜索它们。
- 设置高级选项,例如要在表格中显示的行数以及要显示多少个最受关注的字段。修改高级选项时需要格外注意,避免设置彼此不兼容的值。
- 为生产环境配置 Kibana。
创建一个索引模式连接 Elasticsearch
一个 索引模式 标识一个或者多个您想要通过 kiabna 探索的 Elasticsearch 索引。Kibana 会查找与指定模式匹配的索引名称。模式中的星号 (*) 匹配0个或者多个字符。例如,模式 myindex-*
匹配所有名称中以 myindex-
开头的索引,如 myindex-1
和 myindex-2
。
一个索引模式也可以简单地作为单个索引的名称。
要创建一个连接到 Elasticsearch 的索引模式:
- 点击 设置 > 索引 标签页。
- 指定与一个或多个 Elasticsearch 索引名称匹配的索引模式。默认情况下,Kibana 会认为您正在处理通过 Logstash 送到 Elasticsearch 的日志数据。
NOTE:当您在顶层标签页中切换时,Kibana 会记住您在每个标签页中的位置。例如,如果您在设置标签页中查看了一个特定的索引模式,然后切换到探索标签页,接着再回到设置标签页,Kibana 会显示您刚才看过的那个索引模式。想创建新的索引模式,点击索引模式列表上的 添加 按钮。
- 如果您的索引中含有一个时间戳字段,并且您想将这个字段用于执行基于时间比较的操作,请选择 索引含有带时间戳的事件 选项,Kibana 会读取索引映射并列出包含时间戳的所有字段,从中选择您需要的字段即可。
- 默认情况下,Kibana 会限制基于时间的索引模式的通配符扩展,范围为当前选定时间内的索引数据。点击 当搜索时不要展开索引模式 选项来禁用此行为。
- 点击 创建 添加新的索引模式。
- 要指定新模式作为查看探索标签页时加载的默认模式,请单击 收藏 按钮。
NOTE:当您定义一个索引模式时,Elasticsearch 中必须存在匹配该模式的索引,并且这些索引必须包含数据。
要在索引名称中使用事件时间,需要使用下表中指定的日期格式语汇单元,并将其作为为静态文本放在模式名称中。
例如,[logstash-]YYYY.MM.DD
匹配所有前缀是 logstash-
并且后接 YYYY.MM.DD
这种时间戳格式的索引,如 logstash-2015.01.31
和 logstash-2015-02-01
。
表 2. 日期格式语汇单元
M
Month - cardinal: 1 2 3 … 12
Mo
Month - ordinal: 1st 2nd 3rd … 12th
MM
Month - two digit: 01 02 03 … 12
MMM
Month - abbreviation: Jan Feb Mar … Dec
MMMM
Month - full: January February March … December
Q
Quarter: 1 2 3 4
D
Day of Month - cardinal: 1 2 3 … 31
Do
Day of Month - ordinal: 1st 2nd 3rd … 31st
DD
Day of Month - two digit: 01 02 03 … 31
DDD
Day of Year - cardinal: 1 2 3 … 365
DDDo
Day of Year - ordinal: 1st 2nd 3rd … 365th
DDDD
Day of Year - three digit: 001 002 … 364 365
d
Day of Week - cardinal: 0 1 3 … 6
do
Day of Week - ordinal: 0th 1st 2nd … 6th
dd
Day of Week - 2-letter abbreviation: Su Mo Tu … Sa
ddd
Day of Week - 3-letter abbreviation: Sun Mon Tue … Sat
dddd
Day of Week - full: Sunday Monday Tuesday … Saturday
e
Day of Week (locale): 0 1 2 … 6
E
Day of Week (ISO): 1 2 3 … 7
w
Week of Year - cardinal (locale): 1 2 3 … 53
wo
Week of Year - ordinal (locale): 1st 2nd 3rd … 53rd
ww
Week of Year - 2-digit (locale): 01 02 03 … 53
W
Week of Year - cardinal (ISO): 1 2 3 … 53
Wo
Week of Year - ordinal (ISO): 1st 2nd 3rd … 53rd
WW
Week of Year - two-digit (ISO): 01 02 03 … 53
YY
Year - two digit: 70 71 72 … 30
YYYY
Year - four digit: 1970 1971 1972 … 2030
gg
Week Year - two digit (locale): 70 71 72 … 30
gggg
Week Year - four digit (locale): 1970 1971 1972 … 2030
GG
Week Year - two digit (ISO): 70 71 72 … 30
GGGG
Week Year - four digit (ISO): 1970 1971 1972 … 2030
A
AM/PM: AM PM
a
am/pm: am pm
H
Hour: 0 1 2 … 23
HH
Hour - two digit: 00 01 02 … 23
h
Hour - 12-hour clock: 1 2 3 … 12
hh
Hour - 12-hour clock, 2 digit: 01 02 03 … 12
m
Minute: 0 1 2 … 59
mm
Minute - two-digit: 00 01 02 … 59
s
Second: 0 1 2 … 59
ss
Second - two-digit: 00 01 02 … 59
S
Fractional Second - 10ths: 0 1 2 … 9
SS
Fractional Second - 100ths: 0 1 … 98 99
SSS
Fractional Seconds - 1000ths: 0 1 … 998 999
Z
Timezone - zero UTC offset (hh:mm format): -07:00 -06:00 -05:00 .. +07:00
ZZ
Timezone - zero UTC offset (hhmm format): -0700 -0600 -0500 … +0700
X
Unix Timestamp: 1360013296
x
Unix Millisecond Timestamp: 1360013296123
设置默认的索引模式
当您查看 探索 标签页时,默认索引模式将会自动加载。在 设置 > 索引 标签页的索引模式列表中,Kibana 会在默认模式名称的左侧显示一颗星。您创建的第一个模式将会被自动指定为默认模式。
设置其他模式作为默认索引模式:
- 点击 设置 > 索引 标签页。
- 在索引模式列表中选择您想要默认加载的模式。
- 点击模式的 收藏 按钮。
NOTE:您也可以在 高级 > 设置 中手动设定默认索引模式。
重新加载索引字段列表
当您新增了一个索引映射,Kibana 会自动扫描匹配模式的索引,并显示索引字段的清单。您可以重新载入索引字段列表以便能选择新增的字段。
重载索引字段列表会导致 Kibana 的字段流行度计数器重置。流行度计数器是用来跟踪您在 Kibana 中经常使用的字段,并被用于对列表中的字段进行排序。
要重新加载索引字段列表:
- 点击 设置 > 索引 标签页。
- 从索引模式列表中选择一个索引模式。
- 点击该模式的 重载 按钮。
删除索引模式
要删除一个索引模式:
- 点击 设置 > 索引 标签页。
- 从索引模式列表中选择您想要删除的索引模式。
- 点击该模式的 删除 按钮。
- 确认您想要删除该模式。