创建简单仪表板以监控网站日志
Elastic Stack Serverless
了解从您自己的数据创建仪表板的最常用方法。本教程将使用来自分析师视角的网站日志样本数据,但这种类型的仪表板适用于任何类型的数据。
完成后,您将获得样本 Web 日志数据的完整概览。
添加示例 Web 日志数据,然后创建并设置仪表板。
- 安装 Web 日志示例数据集.
- 转到仪表板。
- 单击创建仪表板。
- 将时间过滤器设置为过去 90 天。
打开可视化编辑器,然后确保出现正确的字段。
在仪表板上,单击创建可视化。
确保出现Kibana Sample Data Logs数据视图。
要创建本教程中的可视化效果,您将使用以下字段
- 记录
- 时间戳
- 字节
- 客户端 IP
- referer.keyword
单击字段名称以查看更多详细信息,例如其最高值和分布。
选择要分析的字段,例如clientip。要仅分析 clientip 字段,请使用 Metric 可视化将该字段显示为数字。
您可以对 clientip 使用的唯一数字函数是唯一计数,也称为基数,它近似于唯一值的数量。
打开可视化类型下拉列表,然后选择度量。
从可用字段列表中,将 clientip 拖到工作区或图层窗格。
在图层窗格中,出现clientip 的唯一计数,因为编辑器会自动将唯一计数函数应用于 clientip 字段。唯一计数是唯一适用于 IP 地址的数字函数。
在图层窗格中,单击clientip 的唯一计数。
- 在名称字段中,输入
Unique visitors。 - 单击关闭。
- 在名称字段中,输入
单击保存并返回。
您可以使用两个快捷方式来随时间查看指标。当您将数字字段拖到工作区时,可视化编辑器会从数据视图中添加默认时间字段。当您使用 Date histogram 函数时,您可以通过将字段拖到工作区来替换时间字段。
要可视化随时间变化的 bytes 字段
在仪表板上,单击创建可视化。
从可用字段列表中,将 bytes 拖到工作区。
可视化编辑器会创建一个条形图,其中包含 timestamp 和 Median of bytes 字段。
要放大数据,请单击并拖动光标穿过条形图。
要强调 Median of bytes 随时间的变化,请使用以下选项之一将可视化类型更改为线
- 在建议中,单击折线图。
- 在编辑器工具栏中,打开可视化类型下拉列表,然后选择线。
- 在图层窗格中,打开图层可视化类型菜单,然后单击线。
要增加最短时间间隔
在图层窗格中,单击timestamp。
将最短间隔更改为1 天,然后单击关闭。
您可以增加和减少最短间隔,但无法将间隔减少到低于配置的高级设置。
为了节省仪表板上的空间,请隐藏轴标签。
打开左轴菜单,然后从轴标题下拉列表中选择无。
打开底轴菜单,然后从轴标题下拉列表中选择无。
单击保存并返回
由于您删除了轴标签,因此添加面板标题
将鼠标悬停在面板上,然后单击
。出现设置弹出窗口。在标题字段中,输入
Median of bytes,然后单击应用。
创建一个可视化效果,显示您网站上 request.keyword 的最频繁值,按唯一访客排序。要创建可视化效果,请使用按 clientip 的唯一计数排序的 request.keyword 的最高值,而不是按记录计数排序。
最高值函数按另一个函数对字段的唯一值进行排序。当按计数函数排序时,这些值是最频繁的,而当按总和函数排序时,这些值是最大的。
在仪表板上,单击创建可视化。
从可用字段列表中,将 clientip 拖到图层窗格中的纵轴字段。
可视化编辑器会自动应用唯一计数函数。如果您将 clientip 拖到工作区,编辑器会将该字段添加到错误的轴。
将 request.keyword 拖到工作区。
当您将文本或 IP 地址字段拖到工作区时,编辑器会添加按记录计数排序的 最高值函数,以显示最频繁的值。
图表标签无法显示,因为 request.keyword 字段包含长文本字段。您可以使用其中一个建议,但这些建议也存在长文本问题。显示长文本字段的最佳方法是使用表格可视化。
打开可视化类型下拉列表,然后选择表格。
在图层窗格中,单击 request.keyword 的前 5 个值。
在值的数量字段中,输入
10。在名称字段中,输入
Page URL。单击关闭。
单击保存并返回。
由于表格列已标记,因此您无需添加面板标题。
创建一个比例可视化,帮助您确定您的用户是从 10KB 以下的文档传输更多字节,还是从 10Kb 以上的文档传输更多字节。
- 在仪表板上,单击创建可视化。
- 从可用字段列表中,将 bytes 拖到图层窗格中的纵轴字段。
- 在图层窗格中,单击 Median of bytes。
- 单击总和快速函数,然后单击关闭。
- 从可用字段列表中,将 bytes 拖到图层窗格中的细分字段。
要基于字段的数字范围选择文档,请使用 Intervals 函数。当范围为非数字,或者查询需要多个子句时,可以使用 Filters 函数。
指定文件大小范围
在图层面板中,单击 bytes。
单击 创建自定义范围,在 Ranges 字段中输入以下内容,然后按回车键
- Ranges —
0→10240 - Label —
低于 10KB
- Ranges —
单击 添加范围,输入以下内容,然后按回车键
Ranges —
10240→+∞Label —
高于 10KB
从 值格式 下拉列表中,选择 字节 (1024),然后单击 关闭。
要将值显示为所有值的总和的百分比,请使用 饼图。
打开 可视化类型 下拉列表,然后选择 饼图。
单击保存并返回。
添加面板标题
- 将鼠标悬停在面板上,然后单击 。出现设置弹出窗口。
- 在 标题 字段中,输入
来自大型请求的字节总和,然后单击 应用。
数字的分布可以帮助您找到模式。例如,您可以分析每小时的网站流量,以找到进行例行维护的最佳时间。
在仪表板上,单击创建可视化。
从 可用字段 列表中,将 bytes 拖到图层面板中的 垂直轴 字段。
在图层窗格中,单击 Median of bytes。
- 单击 总和 快速功能。
- 在 名称 字段中,输入
传输的字节数。 - 从 值格式 下拉列表中,选择 字节 (1024),然后单击 关闭。
从 可用字段 列表中,将 hour_of_day 拖到图层面板中的 水平轴 字段。
在图层面板中,单击 hour_of_day,然后滑动 间隔粒度 滑块,直到水平轴显示每小时间隔。
单击保存并返回。
添加面板标题
- 将鼠标悬停在面板上,然后单击 。出现设置弹出窗口。
- 在 标题 字段中,输入
网站流量,然后单击 应用。
表格 和 比例 可视化支持多种功能。例如,要创建按网站流量来源和用户地理位置细分数据的可视化,请应用 Filters 和 Top values 功能。
- 在仪表板上,单击创建可视化。
- 打开 可视化类型 下拉列表,然后选择 Treemap。
- 从 可用字段 列表中,将 Records 拖到图层面板中的 Size by 字段。
- 在图层面板中,单击 添加或拖放一个字段 作为 Group by。
为每个网站流量来源创建一个过滤器
单击 Filters。
单击 所有记录,在查询栏中输入以下内容,然后按回车键
- KQL —
referer : *facebook.com* - Label —
Facebook
- KQL —
单击 添加过滤器,在查询栏中输入以下内容,然后按回车键
- KQL —
referer : *twitter.com* - Label —
Twitter
- KQL —
单击 添加过滤器,在查询栏中输入以下内容,然后按回车键
- KQL —
NOT referer : *twitter.com* OR NOT referer: *facebook.com* - Label —
其他
- KQL —
单击关闭。
添加用户地理位置分组
从 可用字段 列表中,将 geo.srcdest 拖到工作区。
要更改 Group by 顺序,请在图层面板中拖动 geo.srcdest 的前 3 个值,使其首先出现。
删除与筛选条件不匹配的文档
在图层面板中,单击 geo.srcdest 的前 3 个值。
单击 Advanced,取消选中 将其他值分组为“其他”,然后单击 关闭。
单击保存并返回。
添加面板标题
- 将鼠标悬停在面板上,然后单击 。出现设置弹出窗口。
- 在 标题 字段中,输入
按位置和引荐来源网址划分的页面浏览量,然后单击 应用。
调整面板大小并移动它们,使它们都显示在仪表板上而无需滚动。
减小以下面板的大小,然后将面板移动到第一行
独立访客
字节数中位数
来自大型请求的字节总和
网站流量
现在您已经对 Web 服务器数据有了完整的了解,请保存仪表板。
- 在工具栏中,单击 保存。
- 在 保存仪表板 窗口上,在 标题 字段中输入
日志仪表板。 - 选择 将时间与仪表板一起存储。
- 单击 保存。您将被标识为仪表板的 创建者。如果您或其他用户编辑仪表板,您还可以在检查仪表板信息时查看 最后编辑者。
