›

Kibana 概念

了解分析和可视化数据的共享概念

作为分析师，您将结合使用 Kibana 应用程序来分析和可视化数据。Kibana 包含通用应用程序以及用于 企业搜索、Elastic 可观测性 和 Elastic 安全 解决方案的应用程序。这些应用程序共享一组通用概念。

您无需了解 Elasticsearch 的所有内容即可使用 Kibana，但最重要的概念如下：

Elasticsearch 使 JSON 文档可搜索和可聚合。 文档存储在索引或数据流中，它们代表一种数据类型。
可搜索 表示您可以根据条件过滤文档。例如，您可以过滤“最近 7 天内”的数据或“包含 Kibana 一词”的数据。Kibana 提供了多种方式来构建过滤器，也称为查询或搜索词。
可聚合 表示您可以从匹配的文档中提取摘要。最简单的聚合是计数，它经常与 日期直方图 结合使用，以查看随时间变化的计数。词条聚合显示最频繁的值。

Kibana 在每个页面上提供一个全局搜索栏，您可以使用它来查找任何应用程序或已保存的对象。使用键盘快捷键 Ctrl+/（在 Windows 和 Linux 上）或 Command+/（在 MacOS 上）打开搜索栏。

Kibana 需要一个数据视图来告知它您要访问哪个 Elasticsearch 数据，以及数据是否是基于时间的。数据视图可以通过名称指向一个或多个 Elasticsearch 数据流、索引或索引别名。

数据视图通常在将数据发送到 Elasticsearch 时由管理员创建。您可以在 堆栈管理 中创建或更新数据视图，或者使用访问 Kibana API 的脚本。

Kibana 使用数据视图向您显示字段列表，例如 event.duration。您可以自定义每个字段的显示名称和格式。例如，您可以告知 Kibana 以秒为单位显示 event.duration。Kibana 具有字符串、日期、地理点和数字的字段格式化器。

Kibana 提供了几种构建搜索查询的方法，这将减少您从 Elasticsearch 获取的文档匹配数。Kibana 应用程序提供时间过滤器，大多数应用程序还包括半结构化搜索和额外的过滤器。

Time filter, semi-structured search, and filters in a Kibana app

如果您经常使用任何搜索选项，请单击半结构化搜索旁边的以保存或加载以前保存的查询。已保存的查询始终包含半结构化搜索查询，以及可选的时间过滤器和额外过滤器。

全局时间过滤器限制显示的数据的时间范围。在大多数情况下，时间过滤器适用于数据视图中的时间字段，但某些应用程序允许您使用不同的时间字段。

使用时间过滤器，您可以配置刷新率以定期重新提交搜索。

section of time filter where you can configure a refresh rate

要手动重新提交搜索，请单击刷新按钮。当您使用 Kibana 查看底层数据时，这非常有用。

使用 Kibana 查询语言 (KQL) 将自由文本搜索与基于字段的搜索相结合。键入一个搜索词以在所有字段中匹配，或开始键入一个字段名称以获取可用于构建结构化查询的字段名称和运算符的建议。半结构化搜索将过滤匹配的文档，并且仅返回匹配的文档。

以下是一些示例 KQL 查询。有关更详细的示例，请参阅Kibana 查询语言。

精确短语查询	`http.response.body.content.text:"快速的棕色狐狸"`
词条查询	http.response.status_code:400 401 404
布尔查询	`response:200 或 extension:php`
范围查询	`account_number >= 100 且 items_sold <= 200`
通配符查询	`machine.os:win*`

结构化过滤器是一种更具交互性的方式来创建 Elasticsearch 查询，并且通常在构建由多个分析师共享的仪表板时使用。每个过滤器都可以禁用、反转或固定在所有应用程序中。每个结构化过滤器都与查询的其余部分组合使用 AND 逻辑。

Add filter popup

Kibana 允许您保存对象以供自己将来使用或与他人共享。每种已保存的对象类型都具有不同的能力。例如，您可以保存使用 Discover 进行的搜索查询，这使您可以

为了便于组织，每个已保存的对象都可以具有名称、标签和类型。使用全局搜索可以快速打开已保存的对象。