›

Kibana 概念

Kibana 概念编辑

了解分析和可视化数据的共享概念

作为分析师，您将使用 Kibana 应用程序的组合来分析和可视化您的数据。Kibana 包含通用应用程序和针对 企业搜索、Elastic 可观测性 和 Elastic 安全 解决方案的应用程序。这些应用程序共享一组通用的概念。

您不需要了解 Elasticsearch 的所有内容即可使用 Kibana，但最重要的概念如下

Elasticsearch 使 JSON 文档可搜索和聚合。 文档存储在索引或数据流中，它们代表一种类型的数据。
可搜索意味着您可以根据条件过滤文档。例如，您可以过滤“过去 7 天内”的数据或“包含 Kibana 一词”的数据。Kibana 为您提供了许多构建过滤器的方法，这些方法也称为查询或搜索词。
可聚合意味着您可以从匹配的文档中提取摘要。最简单的聚合是计数，它经常与 日期直方图 结合使用，以查看随时间的计数。术语聚合显示最频繁的值。

Kibana 在每个页面上都提供了一个全局搜索栏，您可以使用它来查找任何应用程序或保存的对象。使用键盘快捷键 Ctrl+/（在 Windows 和 Linux 上）或 Command+/（在 MacOS 上）打开搜索栏。

Kibana 需要一个数据视图来告诉它要访问哪些 Elasticsearch 数据以及数据是否基于时间。数据视图可以通过名称指向一个或多个 Elasticsearch 数据流、索引或索引别名。

数据视图通常由管理员在将数据发送到 Elasticsearch 时创建。您可以在 堆栈管理 中创建或更新数据视图，或者使用访问 Kibana API 的脚本。

Kibana 使用数据视图向您显示字段列表，例如 event.duration。您可以自定义每个字段的显示名称和格式。例如，您可以告诉 Kibana 以秒为单位显示 event.duration。Kibana 具有用于字符串、日期、地理点和数字的字段格式化程序。

Kibana 为您提供了多种构建搜索查询的方法，这些方法将减少您从 Elasticsearch 获得的文档匹配数量。Kibana 应用程序提供了一个时间过滤器，大多数应用程序还包括半结构化搜索和额外的过滤器。

Time filter, semi-structured search, and filters in a Kibana app

如果您经常使用任何搜索选项，请单击半结构化搜索旁边的以保存或加载先前保存的查询。保存的查询始终包含半结构化搜索查询，并且可以选择包含时间过滤器和额外的过滤器。

全局时间过滤器限制显示数据的時間範圍。在大多数情况下，时间过滤器适用于数据视图中的时间字段，但某些应用程序允许您使用不同的时间字段。

使用时间过滤器，您可以配置刷新率以定期重新提交搜索。

section of time filter where you can configure a refresh rate

要手动重新提交搜索，请单击刷新按钮。当您使用 Kibana 查看底层数据时，这很有用。

使用 Kibana 查询语言 (KQL) 将自由文本搜索与基于字段的搜索结合起来。键入搜索词以匹配所有字段，或开始键入字段名称以获取字段名称和运算符的建议，您可以使用这些建议来构建结构化查询。半结构化搜索将过滤匹配的文档，并且仅返回匹配的文档。

以下是 KQL 查询的一些示例。有关更详细的示例，请参阅 Kibana 查询语言。

精确短语查询	`http.response.body.content.text:"quick brown fox"`
术语查询	http.response.status_code:400 401 404
布尔查询	`response:200 or extension:php`
范围查询	`account_number >= 100 and items_sold <= 200`
通配符查询	`machine.os:win*`

结构化过滤器是创建 Elasticsearch 查询的更交互式方式，通常用于构建由多个分析师共享的仪表板。每个过滤器都可以禁用、反转或固定在所有应用程序中。每个结构化过滤器都与查询的其余部分使用 AND 逻辑组合。

Add filter popup

Kibana 允许您保存对象以供您自己将来使用或与他人共享。每个保存的对象类型都有不同的功能。例如，您可以保存使用发现创建的搜索查询，这使您可以

为了组织，每个保存的对象都可以具有名称、标签和类型。使用全局搜索快速打开保存的对象。