ELK系列-（一）Docker部署ELK核心组件

ELK系列-（二）LogStash数据处理的瑞士军刀

在第一篇中，我们分析了部署的整体架构，进行了ELK核心组件的安装。此处，我们将继续进行ELK系统的搭建。

系统架构图：

在前两篇文章中,我们完成了ELK的部署和Logstash的配置。现在让我们来认识一下ELK中的"K" - Kibana,这位数据可视化界的"毕加索"。

如果说Elasticsearch是数据的仓库,Logstash是数据的搬运工,那么Kibana就是一位才华横溢的艺术家,能够将枯燥的数据变成生动的图表。它不仅能让你轻松查询数据,还能制作出各种炫酷的可视化图表。

1. Kibana的主要功能

• Discover: 数据查询、分析神器
• Visualize: 可视化工具箱
• Dashboard: 仪表盘设计室
• Dev Tools: 开发者的游乐场

1. 访问Kibana

点开后就可以看到首页的界面，以及涵盖主要导航的侧边栏

2. 创建索引模式

在开始使用之前,我们需要告诉Kibana要展示哪些数据:

1. 进入 Management → Stack Management → Index Patterns(数据视图)

2. 点击 "Create index pattern”（创建数据视图）

小贴士: 索引模式就像是给Kibana的一张地图,告诉它数据藏在哪里。

1. Discover页面

在侧边栏点击Discover标签进入，这里就是数据的集中展现,你可以:

• 使用KQL(Kibana Query Language)搜索数据
• 查看原始日志
• 添加或删除字段
• 制作简单的统计图表

1. 左侧可以选择要展示的页面
2. 顶部可食用KQL查询
3. 中间部分就集中展示了数据

2. 可视化创建

在Visualize中,你可以创建各种图表这里就交由大家自行探索啦:

• 饼图: 展示比例数据
• 线图: 展示趋势变化
• 地图: 展示地理分布
• 仪表盘: 展示关键指标

说到日志解析,不得不提到Kibana中内置的Grok调试器。我们先前在Logstash中提到的grok就可以在这里调试

1. 访问Grok调试器

2. 使用示例

假设我们有这样一条nginx访问日志:

可以使用以下Grok表达式解析: