创建简单的仪表板以监控网站日志
编辑创建简单的仪表板以监控网站日志
编辑学习从您自己的数据创建仪表板的最常用方法。本教程将使用从分析师查看网站日志的角度出发的示例数据,但这种类型的仪表板适用于任何类型的数据。
完成后,您将对示例网站日志数据有一个完整的概览。
在开始之前,您应该熟悉 Kibana 概念。
添加数据并创建仪表板
编辑添加示例网站日志数据,并创建和设置仪表板。
- 安装网站日志示例数据集.
- 转到 仪表板。
- 单击 创建仪表板。
- 将时间过滤器设置为 最近 90 天。
打开可视化编辑器并熟悉数据
编辑打开可视化编辑器,然后确保显示正确的字段。
- 在仪表板上,单击 创建可视化。
-
确保出现 Kibana 示例数据日志 数据视图。
要创建本教程中的可视化,您将使用以下字段
- 记录
- 时间戳
- 字节
- 客户端 IP
- referer.keyword
单击字段名称以查看更多详细信息,例如其最高值和分布。
创建您的第一个可视化
编辑选择您要分析的字段,例如 clientip。要仅分析 clientip 字段,请使用 指标 可视化将该字段显示为数字。
唯一可以与 clientip 一起使用的数字函数是 唯一计数,也称为基数,它近似于唯一值的数量。
-
打开 可视化类型 下拉列表,然后选择 指标。
-
从 可用字段 列表中,将 clientip 拖到工作区或图层窗格。
在图层窗格中,会显示 clientip 的唯一计数,因为编辑器会自动将 唯一计数 函数应用于 clientip 字段。唯一计数是唯一适用于 IP 地址的数字函数。
-
在图层窗格中,单击 clientip 的唯一计数。
- 在 名称 字段中,输入
唯一访问者。 - 单击 关闭。
- 在 名称 字段中,输入
-
单击 保存并返回。
[无标题] 将显示在可视化面板标题中。由于可视化具有自己的
唯一访问者标签,因此您无需添加面板标题。
查看一段时间内的指标
编辑您可以使用两个快捷方式来查看一段时间内的指标。当您将数字字段拖到工作区时,可视化编辑器会从数据视图中添加默认的时间字段。当您使用 日期直方图 函数时,您可以通过将字段拖到工作区来替换时间字段。
要可视化一段时间内的 字节 字段
- 在仪表板上,单击 创建可视化。
-
从 可用字段 列表中,将 字节 拖到工作区。
可视化编辑器将创建一个带有 时间戳 和 字节的中位数 字段的条形图。
-
要放大数据,请单击并拖动光标跨越条形图。
要强调一段时间内 字节的中位数 的变化,请将可视化类型更改为 折线,并使用以下选项之一
- 在 建议 中,单击折线图。
- 在编辑器工具栏中,打开 可视化类型 下拉列表,然后选择 折线。
- 在图层窗格中,打开 图层可视化类型 菜单,然后单击 折线。
要增加最小时间间隔
- 在图层窗格中,单击 时间戳。
-
将 最小间隔 更改为 1 天,然后单击 关闭。
您可以增加和减少最小间隔,但是无法将间隔减小到低于配置的 高级设置。
为了节省仪表板上的空间,请隐藏轴标签。
-
打开 左轴 菜单,然后从 轴标题 下拉列表中选择 无。
-
打开 底轴 菜单,然后从 轴标题 下拉列表中选择 无。
- 单击 保存并返回
由于您删除了轴标签,请添加面板标题
- 打开面板菜单,然后选择 设置。
-
在 标题 字段中,输入
字节的中位数,然后单击 应用。
查看字段的最高值
编辑创建一个可视化,显示您网站上 request.keyword 的最频繁值,并按唯一访问者进行排名。要创建可视化,请使用按 clientip 的唯一计数 排名的 request.keyword 的最高值,而不是按 记录计数 排名。
最高值 函数按另一个函数对字段的唯一值进行排名。按 计数 函数排名时,这些值是最频繁的,而按 总和 函数排名时,这些值是最大的。
- 在仪表板上,单击 创建可视化。
-
从 可用字段 列表中,将 clientip 拖到图层窗格中的 纵轴 字段。
可视化编辑器会自动应用 唯一计数 函数。如果您将 clientip 拖到工作区,则编辑器会将该字段添加到错误的轴。
-
将 request.keyword 拖到工作区。
当您将文本或 IP 地址字段拖到工作区时,编辑器会添加按 记录计数 排名的 最高值 函数,以显示最频繁的值。
由于 request.keyword 字段包含长文本字段,因此图表标签无法显示。您可以使用 建议 之一,但是这些建议也存在长文本问题。显示长文本字段的最佳方法是使用 表格 可视化。
-
打开 可视化类型 下拉列表,然后选择 表格。
-
在图层窗格中,单击 request.keyword 的前 5 个值。
- 在 值数 字段中,输入
10。 - 在 名称 字段中,输入
页面 URL。 -
单击 关闭。
- 在 值数 字段中,输入
-
单击 保存并返回。
由于表列已标记,因此您无需添加面板标题。
将文档的子集与所有文档进行比较
编辑创建一个比例可视化,以帮助您确定用户是从 10KB 以下的文档传输更多字节,还是从 10Kb 以上的文档传输更多字节。
- 在仪表板上,单击 创建可视化。
- 从 可用字段 列表中,将 字节 拖到图层窗格中的 纵轴 字段。
- 在图层窗格中,单击 字节的中位数。
- 单击 总和 快速函数,然后单击 关闭。
- 从 可用字段 列表中,将 字节 拖到图层窗格中的 分解 字段。
要基于字段的数字范围选择文档,请使用 间隔 函数。当范围为非数字时,或者查询需要多个子句时,可以使用 筛选器 函数。
指定文件大小范围
- 在图层窗格中,单击 字节。
-
单击 创建自定义范围,在 范围 字段中输入以下内容,然后按 Return 键
-
范围 —
0→10240 -
标签 —
低于 10KB
-
范围 —
-
单击 添加范围,输入以下内容,然后按 Return 键
-
范围 —
10240→+∞ -
标签 —
高于 10KB
-
范围 —
- 从 值格式 下拉列表中,选择 字节 (1024),然后单击 关闭。
要将值显示为所有值总和的百分比,请使用 饼图。
-
打开 可视化类型 下拉列表,然后选择 饼图。
- 单击 保存并返回。
添加面板标题
- 打开面板菜单,然后选择 设置。
- 在 标题 字段中,输入
来自大型请求的字节总和,然后单击 应用。
查看数字字段的分布
编辑数字的分布可以帮助您找到模式。例如,您可以分析每小时的网站流量,以找到例行维护的最佳时间。
- 在仪表板上,单击 创建可视化。
- 从 可用字段 列表中,将 bytes 拖动到图层窗格中的 纵轴 字段。
-
在图层窗格中,单击 字节的中位数。
- 单击 总和 快速函数。
- 在 名称 字段中,输入
传输的字节。 - 从 值格式 下拉列表中,选择 字节 (1024),然后单击 关闭。
- 从 可用字段 列表中,将 hour_of_day 拖动到图层窗格中的 横轴 字段。
-
在图层窗格中,单击 hour_of_day,然后滑动 间隔粒度 滑块,直到横轴显示按小时划分的间隔。
- 单击 保存并返回。
添加面板标题
- 打开面板菜单,然后选择 设置。
- 在 标题 字段中,输入
网站流量,然后单击 应用。
创建多级图表
编辑表格 和 比例 可视化支持多种功能。例如,要创建按网站流量来源和用户地理位置细分数据的可视化,请应用 筛选器 和 前几位的值 功能。
- 在仪表板上,单击 创建可视化。
- 打开 可视化类型 下拉列表,然后选择 树状图。
- 从 可用字段 列表中,将 Records 拖动到图层窗格中的 大小依据 字段。
- 在图层窗格中,单击 为“分组依据”添加或拖放字段。
为每个网站流量来源创建筛选器
- 单击 筛选器。
-
单击 所有记录,在查询栏中输入以下内容,然后按回车键
-
KQL —
referer : *facebook.com* -
标签 —
Facebook
-
KQL —
-
单击 添加筛选器,在查询栏中输入以下内容,然后按回车键
-
KQL —
referer : *twitter.com* -
标签 —
Twitter
-
KQL —
-
单击 添加筛选器,在查询栏中输入以下内容,然后按回车键
-
KQL —
NOT referer : *twitter.com* OR NOT referer: *facebook.com* -
标签 —
其他
-
KQL —
- 单击 关闭。
添加用户地理位置分组
- 从 可用字段 列表中,将 geo.srcdest 拖动到工作区。
-
要更改 分组依据 的顺序,请在图层窗格中拖动 geo.srcdest 的前 3 个值,使其显示在最前面。
删除与筛选条件不匹配的文档
- 在图层窗格中,单击 geo.srcdest 的前 3 个值。
-
单击 高级,取消选择 将其他值分组为“其他”,然后单击 关闭。
- 单击 保存并返回。
添加面板标题
- 打开面板菜单,然后选择 设置。
- 在 标题 字段中,输入
按位置和引荐来源网址显示的页面浏览量,然后单击 应用。
排列仪表板面板
编辑调整面板大小并移动它们,使它们都显示在仪表板上而无需滚动。
减小以下面板的大小,然后将面板移动到第一行
- 唯一访客
- 字节数中位数
- 来自大型请求的字节总和
-
网站流量
保存仪表板
编辑现在您已经对 Web 服务器数据有了完整的概览,请保存仪表板。
- 在工具栏中,单击 保存。
- 在 保存仪表板 窗口中,在 标题 字段中输入
日志仪表板。 - 选择 将时间与仪表板一起存储。
- 单击 保存。您将被标识为仪表板的 创建者。如果您或其他用户编辑了仪表板,您还可以在检查仪表板信息时查看 最后编辑者。
