Kibana 功能

Kibana Lens 是一个易于使用的直观界面，它通过拖放体验简化了数据可视化过程。无论您是在探索数十亿条日志，还是从您的网站流量中发现趋势，Lens 都能让您只需点击几下即可从数据中获得洞察力——无需事先了解 Kibana。

时间序列可视化构建器 (TSVB) 是一款时间序列数据可视化工具，它利用 Elasticsearch 聚合框架的全部功能，结合了无数的聚合和管道聚合，以有意义的方式显示复杂数据。

“位置”是 Elastic Stack 许多用户关心的一个关键问题。无论您是在保护网络免受攻击者攻击、调查特定位置应用程序响应时间缓慢，还是仅仅是叫车回家，地理数据和搜索都发挥着重要作用。

折线图、面积图和条形图允许您在 X/Y 轴上绘制数据。热力图是一种图形化的数据表示形式，其中矩阵中包含的各个值以颜色或渐变表示。饼图也可以兼作环形图，显示为切片环而不是切片饼。

指标可视化针对每个聚合显示一个数字。显示计数、平均值、总和、最小值/最大值、标准差、百分位数等的指标。

数据表显示是表达数据的最常用方式之一。配置您的数据表以捕获某个时间点，或与您的实时数据同步，以动态、最新地了解正在发生的事情。

Vega 和 Vega-Lite 允许自定义可视化，而无需使用 JavaScript。使用来自单个 Elasticsearch 查询或多个数据源的数据在 Kibana 中构建可视化（独立或在地图之上）。

使用社区驱动的插件模块为 Kibana 添加更多功能。开源插件适用于各种应用程序、扩展、可视化等。插件包括

Canvas 是一种全新的数据美化方式。Canvas 将数据与颜色、形状、文本和您自己的想象力相结合，为大大小小的屏幕带来动态、多页、像素完美的数据显示。

用户体验数据反映了真实世界的用户体验。量化和分析 Web 应用程序的感知性能。

Kibana 运行时字段编辑器使用 Elasticsearch 的运行时字段功能，使分析师能够动态添加自己的自定义字段。从索引模式、Discover 和 Kibana Lens，可以使用此编辑器创建、编辑或删除运行时字段。

Kibana 仪表板显示可视化和搜索的集合。您可以排列、调整大小和编辑仪表板内容，然后保存仪表板以便共享。您可以在多个仪表板之间甚至到 Web 应用程序之间创建自定义钻取，以推动行动和决策。

Discover 使您能够使用 Kibana 的数据发现功能探索您的数据。您可以访问与所选索引模式匹配的每个索引中的每个文档。您可以提交搜索查询、过滤搜索结果和查看文档数据。您还可以查看与搜索查询匹配的文档数量，并获取字段值统计信息。如果为所选索引模式配置了时间字段，则文档随时间分布的直方图将显示在页面顶部。

字段统计信息是 Discover 中的一个选项卡，它通过索引中每个字段的便捷可视化和统计信息显示字段、值和数据分布的细分。查找数据的完整性、发现异常值、了解值的分布并获得整体视图。

在控制台（Kibana 中的开发工具之一）中，您可以使用类似 cURL 的语法编写要发送到 Elasticsearch 的请求，并查看对请求的响应。

图形分析功能使您能够发现 Elasticsearch 索引中的项目是如何相关的。您可以探索索引词之间的连接，并查看哪些连接最有意义。这在各种应用程序中都很有用，从欺诈检测到推荐引擎。

在控制台（Kibana 中的开发工具之一）中，您可以使用类似 cURL 的语法编写要发送到 Elasticsearch 的请求，并查看对请求的响应。

示例仪表板（Apache、NGINX、IIS、HAProxy 等）使您能够轻松地在 Kibana 中开始监控 Web 服务器日志数据和系统指标。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

示例仪表板（适用于 MySQL、MongoDB、PostgreSQL、Microsoft SQL 等）使您能够轻松地在 Kibana 中开始监控数据库和队列系统日志数据和系统指标。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

示例仪表板（系统、Kubernetes、Docker、Windows、auditd、journald 等）使您能够轻松地在 Kibana 中开始监控服务器。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

在 Kibana 中，您可以轻松共享 Kibana 仪表板的直接链接，或者将仪表板作为 iframe 嵌入到网页中，既可以是实时仪表板，也可以是当前时间点的静态快照。

使用 kibana_dashboard_only_user 内置角色来限制用户登录 Kibana 时看到的内容。kibana_dashboard_only_user 角色预先配置了对 Kibana 的只读权限。当用户打开仪表板时，他们的视觉体验将受到限制。所有编辑和创建控件都将隐藏。

借助 Kibana 中的空间，您可以将仪表板和其他已保存的对象组织成有意义的类别。进入特定空间后，您将只能看到属于该空间的仪表板和其他已保存的对象。启用安全性后，您可以控制哪些用户可以访问各个空间，从而为您提供额外的保护层。

快速生成任何 Kibana 可视化或仪表板的报告，并将它们保存为 PDF 或 PNG。按需获取报告、安排稍后生成报告、根据指定条件触发报告，以及自动与他人共享报告。

自定义横幅有助于区分不同角色、团队、职能等的 Kibana 空间。为各个 Kibana 空间定制特定公告和消息，并帮助用户快速识别他们所在的 Kibana 空间。

将 Discover 中的已保存搜索导出为 CSV 文件，以便与外部文本编辑器一起使用。

直接从 Kibana 查看、编辑、删除、导入和导出已保存的对象。已保存的对象可以是搜索、可视化、仪表板或索引模式。

轻松创建标签并将其添加到仪表板和可视化中，以实现高效的内容管理。

在 Elastic 机器学习为您的数据创建正常行为的基线后，您可以使用该信息来推断未来的行为。然后创建预测以估计特定未来日期的时间序列值，或估计未来出现时间序列值的概率。

Elastic 机器学习功能通过在数据中创建准确的正常行为基线并识别该数据中的异常模式来自动化时间序列数据的分析。使用专有的机器学习算法检测、评分异常，并将其与数据中具有统计意义的影响因素相关联。

对于难以用规则和阈值定义的变化，将警报与无监督机器学习功能相结合，以发现异常行为。然后在警报框架中使用异常分数，以便在出现问题时收到通知。

使用 Elastic 机器学习功能构建“典型”用户、机器或其他实体在指定时间段内的行为配置文件，然后在它们的行为与群体相比异常时识别异常值。

应用程序日志事件通常是非结构化的，并且包含可变数据。Elastic 机器学习功能观察消息的静态部分，将相似的消息聚类在一起，并将它们分类为消息类别。

检测到异常后，Elastic 机器学习功能可以轻松识别对其有重大影响的属性。例如，如果交易量出现异常下降，您可以快速识别导致问题的故障服务器或配置错误的交换机。

数据可视化工具通过分析日志文件或现有索引中的指标和字段，帮助您更好地了解 Elasticsearch 数据，并确定可能用于机器学习分析的字段。

推理使您能够使用监督式机器学习过程（如回归或分类），不仅可以进行批处理分析，还可以以连续的方式进行分析。推理可以使用经过训练的机器学习模型来处理传入数据。

语言识别是一个经过训练的模型，您可以使用它来确定文本的语言。您可以在推理处理器中引用语言识别模型。

如果发生计划外的系统中断或其他导致异常检测结果误导的事件，可以快速将模型恢复到所需的快照。

借助 Kibana 中的空间，您可以将仪表板和其他已保存的对象组织成有意义的类别。进入特定空间后，您将只能看到属于该空间的仪表板和其他已保存的对象。启用安全性后，您可以控制哪些用户可以访问各个空间，从而为您提供额外的保护层。

可以通过使用 SSL/TLS 进行流量加密、节点身份验证证书等方式来阻止对 Elasticsearch 节点数据的基于网络的攻击。

基于角色的访问控制 (RBAC) 使您能够通过将权限分配给角色并将角色分配给用户或组来授权用户。

从地图到仪表板，再到任何 Kibana 保存的对象，您现在都可以创建专门的链接，让任何人都可以访问资产，而无需提示输入凭据。

字段级安全性限制用户有权读取的字段。特别是，它限制了可以从基于文档的读取 API 访问哪些字段。

Elastic Stack 的安全功能通过使用领域和一个或多个基于令牌的身份验证服务来验证用户身份。领域用于根据身份验证令牌解析和验证用户。安全功能提供了一些内置领域。

Elastic Stack 支持使用 Elasticsearch 作为后端服务，通过 SAML 单点登录 (SSO) 登录 Kibana。SAML 身份验证允许用户使用外部身份提供程序（如 Okta 或 Auth0）登录 Kibana。

角色管理 API 允许您管理授予 Kibana 权限的角色。无法通过 Kibana 中的控制台访问这些端点。

Kibana 默认使用浅色主题，但可以轻松切换到空间级别的深色主题。选择最适合您（和您的眼睛）的模式。

索引模式标识您要使用 Kibana 探索的一个或多个 Elasticsearch 索引。Kibana 会查找与指定模式匹配的索引名称。模式中的星号 (*) 匹配零个或多个字符。例如，模式 myindex-* 匹配名称以 myindex- 开头的所有索引，例如 myindex-1 和 myindex-2。

索引生命周期管理 (ILM) 允许用户定义和自动化策略，以控制索引在四个阶段中的每个阶段应保留多长时间，以及在每个阶段对索引采取的操作集。这允许更好地控制运营成本，因为数据可以放在不同的资源层中。

作为后台快照管理器，快照生命周期管理 (SLM) API 允许管理员定义对 Elasticsearch 集群进行快照的频率。借助专用的 UI，SLM 使用户能够为 SLM 策略配置保留期，并自动创建、安排和删除快照，从而确保以足够频繁的频率对给定集群进行适当的备份，以便能够根据客户 SLA 进行恢复。

在 Kibana 中，您会找到一个用于查看、创建、启动、停止和删除汇总作业的 UI。汇总作业是一项定期任务，它汇总由索引模式指定的 Elasticsearch 索引中的数据，并将其汇总到一个新索引中。

通过 API 或 Kibana 中的“管理”创建和管理用户和角色。

升级助手 UI 可帮助您准备将 Elastic Stack 升级到最新版本。在 UI 中，助手会识别集群和索引中已弃用的设置，指导您完成解决问题的过程，包括重新索引。

升级助手 API 允许您检查 Elasticsearch 集群的升级状态，并重新索引在上一个主要版本中创建的索引。该助手可帮助您为下一个主要版本的 Elasticsearch 做好准备。

直接从 Kibana 查看、编辑、删除、导入和导出已保存的对象。已保存的对象可以是搜索、可视化、仪表板或索引模式。

保存的对象 API 允许您管理 Kibana 保存的对象，包括但不限于仪表板、可视化和索引模式。无法通过 Kibana 中的控制台访问这些端点。

通过我们易于理解的教程，学习如何将数据集加载到 Elasticsearch 中、定义索引模式、发现和探索数据、创建可视化和仪表板等。

安装 Kibana 时，它会生成一个没有到期日期的基本许可证。转到“管理”>“许可证管理”以查看许可证状态、开始 30 天试用或安装新许可证。您只需单击一下即可激活 30 天试用许可证，以试用全套白金功能，包括机器学习、高级安全性、图形功能等。

开箱即用地提供英语、日语和简体中文界面，并且 Kibana 中的本地化框架意味着将来可以添加更多语言。

转换是二维的表格数据结构，使索引数据更易于理解。转换执行聚合，将您的数据透视到一个新的以实体为中心的索引中。通过转换和汇总数据，可以以其他方式（包括作为其他机器学习分析的来源）对其进行可视化和分析。

Elastic Stack 的监控功能使您能够深入了解 Elasticsearch、Logstash 和 Kibana 的运行情况。所有监控指标都存储在 Elasticsearch 中，这使您能够轻松地从 Kibana 中可视化数据。

使用 Elastic Stack，您可以控制保留监控数据的时间。默认值为 7 天，但您可以将其更改为您想要的任何时间。

借助 Elastic Stack 警报功能，您可以使用警报功能自动接收有关集群变化的通知，包括集群状态、许可证到期以及 Elasticsearch、Kibana 和 Logstash 中的其他指标。

大小企业都信任 Elastic Stack 来满足其警报需求是有原因的。通过以任何格式从任何来源可靠且安全地提取数据，分析师可以实时搜索、分析和可视化关键数据，所有这些都具有定制的、可靠的警报功能。

将警报与电子邮件、IBM Resilient、Jira、Microsoft Teams、PagerDuty、ServiceNow、xMatters 和 Slack 的内置集成链接起来。通过 webhook 输出与任何其他第三方系统集成。

通过从单个 UI 查看、创建和管理所有警报来控制您的警报。通过有关哪些警报正在运行以及采取了哪些操作的实时更新，随时了解最新情况。

暂停警报规则以在用户定义的持续时间内抑制通知和操作。您永远不会错过任何操作，因为您不会忘记在处理意外出现的问题或已知停机期间取消静音规则。

Discover 中的搜索阈值规则基于 Elasticsearch 查询 - 它以给定的时间间隔分析文档，以检查是否达到具有指定条件的文档的阈值，然后触发警报。如果用户希望触发通知或自动创建事件，则可以创建和分配操作。

在控制台（Kibana 中的开发工具之一）中，您可以使用类似 cURL 的语法编写要发送到 Elasticsearch 的请求，并查看对请求的响应。

您可以在 Kibana Grok 调试器中构建和调试 grok 模式，然后再在数据处理管道中使用它们。Grok 是一种模式匹配语法，您可以使用它来解析任意文本并对其进行结构化。Grok 适用于解析 syslog、Apache 和其他 Web 服务器日志、MySQL 日志，以及通常为人类阅读而编写的任何日志格式。

配置文件 API 提供有关搜索请求中各个组件执行的详细计时信息。它提供了对搜索请求如何在底层执行的深入了解，以便您可以了解为什么某些请求速度慢并采取措施改进它们。

Elastic Stack 的入门一如既往地简单。只需下载 Elasticsearch 和 Kibana 并以存档或软件包管理器的方式安装即可。您将能够立即对数据进行索引、分析和可视化。借助默认分发包，您还可以免费试用 Platinum 功能（如机器学习、安全、图形分析等）30 天。

Elastic Cloud 是我们不断发展的 SaaS 产品系列，让您能够在云中轻松部署、操作 Elastic 产品和解决方案并对其进行扩展。从易于使用的托管式 Elasticsearch 体验到功能强大的开箱即用型搜索解决方案，Elastic Cloud 是您无缝使用 Elastic 的跳板。免费试用任何 Elastic Cloud 产品 14 天，无需信用卡。

借助 Elastic Cloud Enterprise (ECE)，您可以通过单个控制台，在任何基础架构上以任何规模调配、管理和监控 Elasticsearch 和 Kibana，同时管理从头到尾的一切内容。选择您运行 Elasticsearch 和 Kibana 的位置：物理硬件、虚拟环境、私有云、公有云中的私有区域，或者仅仅是公有云（例如 Google、Azure、AWS）。我们都能满足您的需求。

Elastic Cloud on Kubernetes (ECK) 基于 Kubernetes Operator 模式构建，扩展了基本的 Kubernetes 编排功能，以支持在 Kubernetes 上设置和管理 Elasticsearch 和 Kibana。借助 Elastic Cloud on Kubernetes，您可以简化在 Kubernetes 中运行 Elasticsearch 的部署、升级、快照、扩展、高可用性、安全等流程。

使用官方 Elasticsearch 和 Kibana Helm Charts 在几分钟内部署。

使用 Docker Hub 中的官方容器在 Docker 上运行 Elasticsearch 和 Kibana。

使用 Kibana 中的 Maps 应用，将来自唯一索引的图层添加到一个视图中。并且由于这些图层位于同一张地图上，因此您可以实时搜索和过滤所有图层。选项包括等值线图层、热力图层、瓦片图层和矢量图层，甚至可以使用特定于用例的图层，例如用于 APM 数据的可观察性。

矢量瓦片将您的地图划分为多个瓦片，并提供最佳性能和平滑缩放，优于其他方法。默认情况下，所有新的多边形图层都启用了“使用矢量瓦片”设置。如果您更喜欢 10,000 条记录的方法，则可以在图层设置中更改缩放选项。

使用您选择的示意图上的自定义位置数据创建区域地图（边界矢量形状使用渐变着色的专题地图）。

Elastic Maps Service 通过提供底图瓦片、shapefile 和可视化地理数据必不可少的关键功能，为 Kibana 中的所有地理空间可视化（包括 Maps 应用）提供支持。借助 Kibana 的默认分发包，您可以在地图上放大至 18 倍。

Elastic Maps Server 在本地基础架构上使用 Elastic Maps Service 的底图和边界。

GeoJSON 上传功能简单易用，但功能强大。通过直接摄取到 Elasticsearch 中，该功能使地图创建者能够将包含点、形状和内容的 GeoJSON 文件拖放到地图中，以进行即时可视化。在跟踪数据驱动的对象移动时，使用 GeoJSON 定义的边界启用电子邮件或 Web 应用警报。

当实体进入、离开或穿过边界时触发通知。在实体位于指定边界内时监控其位置。

使用 Maps 应用程序中内置的这个简单但功能强大的上传器，将 shapefile 加载到 Elastic 中。轻松加载本地开放数据和边界以进行分析和比较。

Filebeat 提供了一种轻量级的方式来转发和集中日志和文件，帮助您简化简单的事情。Filebeat 附带内部模块（auditd、Apache、NGINX、System、MySQL 等），这些模块将常见日志格式的收集、解析和可视化简化为单个命令。

Filebeat 示例仪表板使您能够轻松地在 Kibana 中浏览日志数据。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

由机器学习驱动的日志速率分析会自动突出显示日志速率超出正常范围的时间段，以便您快速识别和检查日志异常。

Logs 应用以紧凑、可自定义的显示方式提供实时日志跟踪。日志数据与 Metrics 应用中的指标相关联，使您更容易诊断问题。

Metricbeat 是一款轻量级传送器，您可以将其安装在服务器上，以定期从操作系统和服务器上运行的服务收集指标。从 CPU 到内存，从 Redis 到 NGINX，Metricbeat 是一种发送系统和服务统计信息的轻量级方法。

Metricbeat 示例仪表板使您能够轻松地在 Kibana 中开始监控服务器。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

将指标流式传输到 Elasticsearch 后，使用 Kibana 中的 Metrics 应用监控它们并实时识别问题。

直接在 Kibana 的 Metrics 应用中为您的指标创建具有实时反馈的阈值警报，并通过您选择的方式接收通知 - 文档、日志、Slack、简单 Webhook 等。

直接从 Metrics UI 中通过一键式异常检测功能查找常见的网络问题。

Heartbeat 是一款轻量级守护程序，您可以将其安装在远程服务器上，以定期检查服务的运行状况并确定它们是否可用。Heartbeat 摄取服务器数据，然后这些数据将显示在 Kibana 的 Uptime 仪表板和应用中。

Heartbeat 示例仪表板使您能够轻松地在 Kibana 中可视化服务的运行状况。使用这些预配置的仪表板快速入门，然后根据您的需要自定义它们。

直接在 Uptime 应用中根据您的可用性数据轻松创建基于阈值的警报，并通过您选择的方式接收通知 - 文档、日志、Slack、简单 Webhook 等。

直接在 Uptime 应用中检查或接收有关 SSL 或 TLS 证书即将到期的通知，并保持您的服务可用。

模拟跨多步骤旅程的用户体验，例如电子商务商店的结账流程。捕获每一步的详细状态信息，以识别问题区域并创造卓越的数字体验。

Kibana 中的 Uptime 应用旨在帮助您快速识别和诊断网络或环境中的中断和其他连接问题。通过这个有用的界面，您可以轻松监控主机、服务、网站、API 等。

APM Server 接收来自 APM 代理的数据，并将它们转换为 Elasticsearch 文档。它通过公开一个 HTTP 服务器端点来实现这一点，代理将收集到的 APM 数据流式传输到该端点。APM Server 验证并处理来自 APM 代理的事件后，会将数据转换为 Elasticsearch 文档并将其存储在相应的 Elasticsearch 索引中。

APM 代理是用与您的服务相同的语言编写的开源库。您可以像安装任何其他库一样将它们安装到您的服务中。它们会检测您的代码并在运行时收集性能数据和错误。这些数据会被缓冲一小段时间，然后发送到 APM Server。

查找和修复代码中的障碍归根结底就是搜索。我们在 Kibana 中提供的专用 APM 应用可让您识别瓶颈并在代码级别精确定位有问题的更改。因此，您可以获得更好、更高效的代码，从而加快开发-测试-部署循环，提高应用程序速度，并改善客户体验。

想知道请求如何流经您的整个基础架构？使用分布式跟踪将事务串联起来，并清楚地了解您的服务如何交互。找出路径中出现延迟问题的位置，然后确定需要优化的组件。

随时了解代码的执行情况。出现问题时收到电子邮件通知，一切顺利时收到 Slack 通知。

服务地图是服务连接方式的可视化表示，并提供高级事务指标，例如平均事务持续时间、请求和错误率，以及 CPU 和内存使用情况。

直接从 APM 应用创建机器学习作业。使用自动对数据建模的机器学习功能，快速找到异常行为。

使用 Elastic 通用模式 (ECS) 统一分析来自不同来源的数据。检测规则、机器学习作业、仪表板和其他安全内容可以更广泛地应用，搜索可以更精细地制定，并且字段名称更容易记住。

集成的机器学习可自动执行异常检测，从而增强检测和搜寻工作流程。一系列预构建的机器学习作业可实现快速采用。警报和调查工作流程利用了 ML 结果。

检测引擎执行基于技术的威胁检测，并在出现高价值异常时发出警报。由 Elastic Security 研究工程师开发和测试的预构建规则可实现快速采用。可以为任何格式化为 Elastic 通用模式 (ECS) 的数据创建自定义规则。

Elastic Security 支持对来自 Elastic Agent 和 Elastic Beats 以及 Carbon Black、CrowdStrike 和 Microsoft Defender for Endpoint 等技术的端点数据进行交互式分析。使用会话视图探索 shell 活动，使用分析器探索进程。

Elastic Security 通过交互式地图、图形、事件表等实现网络安全监控。它支持众多网络安全解决方案，包括 Suricata 和 Zeek 等 OSS 技术、思科 ASA、Palo Alto Networks 和 Check Point 等供应商的设备，以及 AWS、Azure、GCP 和 Cloudflare 等云服务。

Elastic Security 在实体分析方面表现出色。该解决方案提供对用户活动的可见性，帮助从业者解决内部威胁、帐户接管、权限滥用和相关媒介。环境范围的收集支持安全监控，用户数据显示在精选的可视化和表格中。用户上下文显示在搜寻或调查流程中，可以快速访问更多详细信息。

时间线事件浏览器允许分析师查看、过滤、关联和注释事件，收集数据以揭示攻击的根本原因和范围，协调调查人员，并打包信息以供立即和长期参考。

内置案例管理工作流程增强了对检测和响应的控制。Elastic Security 允许分析师轻松打开、更新、标记、评论、关闭案例并将案例与外部系统集成。开放的 API 和对 IBM Resilient、Jira、Swimlane 和 ServiceNow 的预构建支持可实现与现有工作流程的一致性。

使用由 eBPF 提供支持的轻量级代理保护混合云工作负载和云原生应用程序的安全。使用预构建和自定义检测规则以及机器学习模型自动发现运行时威胁。使用显示丰富上下文的类似终端的视图进行调查。

全面了解多云环境中的安全状况。查看结果，将结果与 CIS 控制进行基准比较，并遵循补救指南以推动快速改进。

管理反恶意软件和反勒索软件功能，管理集中收集以实现对高级威胁的检测，并支持基于主机的检查和响应。

Elastic Security 使用户能够轻松地在每个端点上部署 osquery，从而简化了 Linux、Windows 和 macOS 主机上的搜寻和主机检查。该解决方案提供对丰富主机数据的直接访问，可以使用预构建或自定义 SQL 查询进行检索，以便在 Elastic Security 中进行分析。

获取 App Search 引擎的概览，并通过桥接器直接链接到您的 App Search 部署和应用内仪表板。

直接从 Kibana 快速访问您的 Workplace Search 部署。