Kibana 用户指南（构建你本身的仪表盘）

构建本身的仪表盘

准备加载一些数据并构建仪表盘？本教程将向你展现如何：

• 将数据集加载到Elasticsearch中
• 定义索引模式
• 发现并探索数据
• 可视化数据
• 将可视化添加到仪表盘
• 检查可视化背后的数据

加载样例数据

本教程须要三个数据集：

• William Shakespeare的所有做品，适当地解析成字段，下载shakespeare.json
• 一组带有随机生成数据的虚构账户，下载account.zip
• 一组随机生成的日志文件，下载logs.jsonl.gz

其中两个数据集是压缩的，要提取文件，请使用如下命令：

unzip accounts.zip
gunzip logs.jsonl.gz

数据集的结构

Shakespeare数据集具备如下结构：

{
    "line_id": INT,
    "play_name": "String",
    "speech_number": INT,
    "line_number": "String",
    "speaker": "String",
    "text_entry": "String",
}

accounts数据集的结构以下：

{
    "account_number": INT,
    "balance": INT,
    "firstname": "String",
    "lastname": "String",
    "age": INT,
    "gender": "M or F",
    "address": "String",
    "employer": "String",
    "email": "String",
    "city": "String",
    "state": "String"
}

logs数据集有许多不一样的字段，如下是本教程的重要字段：

{
    "memory": INT,
    "geo.coordinates": "geo_point"
    "@timestamp": "date"
}

设置映射

在加载Shakespeare和logs数据集以前，必须为字段设置映射，映射将索引中的文档划分为逻辑组，并指定字段的特征，这些特征包括字段的可搜索性以及它是否被标记化，或者分解为单独的单词。

若是启用了安全性，则必须具备运行本教程的全部Kibana权限，你还必须具备建立，管理读取，写入和删除索引权限，有关详细信息，请参阅 安全权限。

在Kibana Dev Tools > Console，为Shakespeare数据集设置映射：

PUT /shakespeare
{
 "mappings": {
  "doc": {
   "properties": {
    "speaker": {"type": "keyword"},
    "play_name": {"type": "keyword"},
    "line_id": {"type": "integer"},
    "speech_number": {"type": "integer"}
   }
  }
 }
}

此映射指定数据集的字段特征：

• speaker和play_name字段是关键字字段，这些字段不被分析，即便字符串包含多个单词，它们也会被视为一个单元。
• line_id和speech_number字段是整数。

logs数据集须要映射以经过应用geo_point类型将纬度和经度对标记为地理位置。

PUT /logstash-2015.05.18
{
  "mappings": {
    "log": {
      "properties": {
        "geo": {
          "properties": {
            "coordinates": {
              "type": "geo_point"
            }
          }
        }
      }
    }
  }
}

PUT /logstash-2015.05.19
{
  "mappings": {
    "log": {
      "properties": {
        "geo": {
          "properties": {
            "coordinates": {
              "type": "geo_point"
            }
          }
        }
      }
    }
  }
}

PUT /logstash-2015.05.20
{
  "mappings": {
    "log": {
      "properties": {
        "geo": {
          "properties": {
            "coordinates": {
              "type": "geo_point"
            }
          }
        }
      }
    }
  }
}

accounts数据集不须要任何映射。

加载数据集

此时，你已准备好使用Elasticsearch bulk API来加载数据集：

curl -H 'Content-Type: application/x-ndjson' -XPOST 'localhost:9200/bank/account/_bulk?pretty' --data-binary @accounts.json
curl -H 'Content-Type: application/x-ndjson' -XPOST 'localhost:9200/shakespeare/doc/_bulk?pretty' --data-binary @shakespeare_6.0.json
curl -H 'Content-Type: application/x-ndjson' -XPOST 'localhost:9200/_bulk?pretty' --data-binary @logs.jsonl

或者对于Windows用户，在Powershell中:

Invoke-RestMethod "http://localhost:9200/bank/account/_bulk?pretty" -Method Post -ContentType 'application/x-ndjson' -InFile "accounts.json"
Invoke-RestMethod "http://localhost:9200/shakespeare/doc/_bulk?pretty" -Method Post -ContentType 'application/x-ndjson' -InFile "shakespeare_6.0.json"
Invoke-RestMethod "http://localhost:9200/_bulk?pretty" -Method Post -ContentType 'application/x-ndjson' -InFile "logs.jsonl"

这些命令可能须要一些时间才能执行，具体取决于可用的计算资源。

验证加载成功：

GET /_cat/indices?v

你的输出应该相似于：

health status index               pri rep docs.count docs.deleted store.size pri.store.size
yellow open   bank                  5   1       1000            0    418.2kb        418.2kb
yellow open   shakespeare           5   1     111396            0     17.6mb         17.6mb
yellow open   logstash-2015.05.18   5   1       4631            0     15.6mb         15.6mb
yellow open   logstash-2015.05.19   5   1       4624            0     15.7mb         15.7mb
yellow open   logstash-2015.05.20   5   1       4750            0     16.4mb         16.4mb

定义索引模式

索引模式告诉Kibana你想要探索哪些Elasticsearch索引，索引模式能够匹配单个索引的名称，或者包含通配符（*）以匹配多个索引。

例如，Logstash一般以logstash-YYYY.MMM.DD格式建立一系列索引，要浏览2018年5月的全部日志数据，你能够指定索引模式logstash-2018.05*。

你将为Shakespeare数据集建立模式，该数据集具备名为shakespeare的索引，和accounts数据集，其具备名为bank的索引，这些数据集不包含时间序列数据。

1. 在Kibana中打开Management，而后点击Index Patterns。
2. 若是这是你的第一个索引模式，则Create index pattern页面将自动打开，不然，单击左上角的Create index pattern。
3. 在Index pattern字段中输入shakes*。

   

4. 单击Next step。
5. 在Configure settings中，单击Create index pattern，对于这个模式，你不须要配置任何设置。
6. 定义第二个名为ba*的索引模式，你不须要为此模式配置任何设置。

如今为Logstash数据集建立一个索引模式，这个数据集包含时间序列数据。

1. 定义一个名为logstash*的索引模式。
2. 单击Next step。
3. 在Configure settings中，在Time Filter field name下拉菜单中选择@timestamp。
4. 单击Create index pattern。

定义索引模式时，与该模式匹配的索引必须存在于Elasticsearch中，而且它们必须包含数据，要检查哪些索引可用，请转到 Dev Tools > Console并输入 GET _cat/indices，或者，使用 curl -XGET "http://localhost:9200/_cat/indices"。

发现你的数据

使用Discover应用程序，你能够输入Elasticsearch查询来搜索数据并过滤结果。

1. 打开Discover。
   当前索引模式显示在过滤条下方，在如今这种状况下是shakes*，你可能须要在菜单栏中单击New以刷新数据。
2. 单击当前索引模式右侧的插入符号，而后选择ba*。
3. 在搜索字段中，输入如下字符串：
   account_number:<100 AND balance:>47500的

搜索返回0到99之间的全部账号，余额超过47,500，它返回账号8,32,78,85和97的结果。

默认状况下，会为每一个匹配的文档显示全部字段，要选择要显示的字段，请将指针悬停在Available Fields列表上，而后单击要在表中包含的每一个字段旁边的add。

例如，若是添加account_number字段，则显示将更改成包含五个帐户数的列表。

可视化你的数据

在Visualize应用程序中，你可使用各类图表、表格和地图等来塑造数据，你将建立四个可视化效果：饼图、柱状图、坐标图和Markdown小部件。

1. 打开Visualize。
2. 点击Create a visualization或+按钮，你将在Kibana中看到全部的可视化类型。

   

3. 点击Pie。
4. 在New Search中，选择ba*索引模式，你将使用饼图了解银行帐户数据中的帐户余额。

   

饼图

实际上，饼图只包含一个“切片”，这是由于默认搜索匹配全部文档。

要指定要在饼图中显示哪些切片，可使用Elasticsearch的bucket聚合，此聚合将匹配搜索条件的文档排序为不一样的类别，也称为bucket。

使用bucket聚合来创建多个账户余额范围，并找出每一个范围中有多少账户。

1. 在Buckets窗格中，点击Split Slices。
2. 在Aggregation下拉菜单中，选择Range。
3. 在Field下拉菜单中，选择balance。
4. 点击Add Range 4次，使范围总数达到6个。

5. 定义如下范围：

   0             999
   1000         2999
   3000         6999
   7000        14999
   15000       30999
   31000       50000

6. 点击Apply changes。

如今你能够看到1000个帐户落入每一个余额范围的比例是多少。

添加另外一个关注账户持有人年龄的bucket聚合。

1. 在Buckets窗格的底部，单击Add sub-buckets。
2. 在Select buckets type中，单击Split slice。
3. 在Sub Aggregation下拉列表中，选择Terms。
4. 在Field下拉列表中，选择age。
5. 点击Apply changes。

如今，你能够看到账户持有人的年龄细分，显示在余额范围的环形上。

保存此图表以便之后使用：

• 单击顶部菜单栏中的Save并输入Pie Example。

柱状图

你将使用柱状图查看Shakespeare的数据集，并比较play中speaking部分的数量。

• 建立一个Vertical Bar，并将搜索源设置为shake*。

最初图表是一个显示匹配默认通配符查询的文档总数的单一栏。

在y轴上显示每一个play的speaking部分的数量，这须要你配置y轴指标聚合，这个聚合根据搜索结果的值计算指标。

1. 在Metrics窗格中展开Y-Axis。
2. 将Aggregation设置为Unique Count。
3. 将Field设置为speaker。
4. 在Custom Label框中，输入Speaking Parts。
5. 点击Apply changes。

沿着x轴显示paly。

1. 在Buckets窗格中，点击X-Axis。
2. 将Aggregation设置为Terms，将Field设置为play_name。
3. 要按字母顺序排列play，请在Order下拉菜单中选择Ascending。
4. 给轴一个自定义的标签，Play Name。
5. 点击Apply changes。

鼠标悬停在一个柱子上，会显示一个工具提示，其中包含该play的speaking部分的数量。

注意单独的play名字是如何以完整的短语出现的，而不是被分解成单独的单词，这是你在本教程开始时所作的映射的结果，当时你将play_name字段标记为不分析。

使用名称Bar Example保存此图表。

坐标图

使用坐标图，你能够在日志文件示例数据中可视化地理信息。

1. 建立一个Coordinate map，并将搜索源设置为logstash*。
2. 在顶部的菜单栏中，单击最右边的时间选择器。
3. 点击Absolute。
4. 将开始时间设置为2015年5月18日，结束时间设置为2015年5月20日。
5. 点击Go。

你尚未定义任何桶，因此可视化是世界地图。

如今，从日志文件映射地理坐标。

1. 在Buckets窗格中，单击Geo Coordinates。
2. 将Aggregation设置为Geohash，将Field设置为geo.coordinate。
3. 点击Apply changes。

如今地图看起来像这样：

你能够经过点击并拖动来导航地图，地图左上角的控件使你可以缩放地图并设置过滤器，试一下。

使用名称Map Example保存此地图。

Markdown

最后的可视化是一个呈现格式化文本的Markdown小工具。

1. 建立一个Markdown可视化。

2. 在文本框中输入如下内容：

   # This is a tutorial dashboard!
   The Markdown widget uses **markdown** syntax.
   > Blockquotes in Markdown use the > character.

3. 点击Apply changes。

在预览窗格中呈现Markdown：

用名称Markdown Example保存这个可视化。

在仪表盘中显示你的可视化

仪表盘是你能够排列和共享的可视化集合，你将构建一个仪表盘，其中包含在本教程中保存的可视化内容。

1. 打开Dashboard。
2. 点击Create new dashboard。
3. 点击Add。
4. 添加Bar Example、Map Example、Markdown Example和Pie Example。

你的示例仪表盘看起来像这样：

你能够经过点击可视化的标题并拖动来从新排列可视化，在可视化的右上角的齿轮图标显示编辑和删除可视化的控件，一个调整大小的控件在右下角。

要得到要共享的连接或将仪表盘嵌入web页面的HTML代码，请保存仪表盘并单击Share。

保存你的仪表盘。

检查数据

数据的可视化效果很是好，可是有时候你须要查看实际数据来了解真正发生了什么，你能够检查任何可视化后的数据，并查看用于检索它的Elasticsearch查询。

1. 在仪表盘中，将指针悬停在饼图上方。
2. 点击右上角的图标。
3. 从Options菜单中，选择Inspect。

你还能够查看用于获取可视化数据的查询。

1. 打开View:Data菜单并选择Requests。
2. 单击选项卡查看请求统计信息、Elasticsearch请求和JSON中的响应。
3. 要关闭检查器，请单击右上角的X。

总结

既然你已经掌握了基础知识，那么你就能够开始使用Kibana探索你本身的数据了。

• 有关搜索和过滤数据的信息，请参阅Discover。
• 有关Kibana提供的可视化类型的信息，请参阅Visualize。
• 有关配置Kibana和管理保存的对象的信息，请参阅Management。
• 有关能够用于向Elasticsearch提交REST请求的交互式控制台的信息，请参阅Console。

---

上一篇：使用Flight仪表盘探索Kibana

下一篇：Discover