Kibana 简明教程

ELK 代表Elasticsearch、Logstash和Kibana。 ELK 是全球用于日志分析的一个流行的日志管理平台。在ELK堆栈中，Logstash从不同的输入源中提取日志数据或其他事件。它处理事件，然后将它们存储在Elasticsearch中。

Kibana 是一个可视化工具，它可以访问Elasticsearch中的日志，并能够以折线图、条形图、饼图等形式显示给用户。

ELK堆栈的基本流程在此图像中显示：

Logstash负责从存储日志的所有远程源收集数据，并将其推送到Elasticsearch。

Elasticsearch充当数据库，其中收集数据，而Kibana使用Elasticsearch中的数据以条形图、饼图、热图形式向用户表示数据，如下所示：

它向用户实时（例如逐日或每小时）显示数据。Kibana UI用户友好，非常容易让初学者理解。

Kibana为其用户提供以下功能：

Kibana 为用户提供以下优势 -

A detailed documentation on Elasticsearch exists in our library. You can check here for elasticsearch installation. You will have to follow the steps mentioned in the tutorial to install Elasticsearch.

Once done with the installation, start the elasticsearch server as follows −

For Logstash installation, follow this elasticsearch installation which is already existing in our library.

Go to the official Kibana site −https://www.elastic.co/products/kibana

Click the downloads link on the top right corner and it will display screen as follows −

Click the Download button for Kibana. Please note to work with Kibana we need 64 bit machine and it will not work with 32 bit.

In this tutorial, we are going to use Kibana version 6. The download option is available for Windows, Mac and Linux. You can download as per your choice.

Create a folder and unpack the tar/zip downloads for kibana. We are going to work with sample data uploaded in elasticsearch. Thus, for now let us see how to start elasticsearch and kibana. For this, go to the folder where Kibana is unpacked.

For Windows

For Linux

Kibana 启动后，用户可以看到以下屏幕 −

一旦在控制台中看到准备信号，您就可以使用 http://localhost:5601/ 在浏览器中打开 Kibana。Kibana 可用的默认端口为 5601。

Kibana 的用户界面如下图所示 −

在下一章中，我们将学习如何使用 Kibana 的 UI。要了解 Kibana UI 上的 Kibana 版本，请转到左侧的“管理”选项卡，它将显示我们当前使用的 Kibana 版本。

我们将使用 CSV 数据来上传使用 Logstash 到 Elasticsearch 的数据。要对数据分析开展工作，我们可以从 kaggle.com 网站获取数据。Kaggle.com 网站已上传所有类型的数据，用户可以使用这些数据来开展数据分析。

我们从这里获取了 countries.csv 数据： https://www.kaggle.com/fernandol/countries-of-the-world 。您可以下载 csv 文件并使用它。

我们将使用 csv 文件包含以下详细信息。

文件名 − countriesdata.csv

列 − “国家/地区”、“区域”、“人口”、“面积”

您还可以创建一个虚拟的 csv 文件并使用它。我们将使用 Logstash 将此数据从 countriesdata.csv 转储到 Elasticsearch。

在您的终端启动 elasticsearch 和 Kibana 并保持运行。我们必须创建 logstash 的配置文件，其中包含有关 CSV 文件列的详细信息，以及其他详细信息，如下面的 logstash-config 文件所示 −

在配置文件中，我们创建了 3 个组件 −

现在，我们有在 localhost 上运行的 Kibana，端口 5601 − http://localhost:5601 。Kibana 的 UI 显示如下 −

请注意，我们已经将 Kibana 连接到 Elasticsearch，我们应该能够在 Kibana 内看到 index :countries-28.12.2018 。

在 Kibana UI 中，单击左侧的 Management Menu 选项 −

现在，单击 Index Management −

Elasticsearch 中存在的索引显示在索引管理中。我们将在 Kibana 中使用的索引是 countriesdata-28.12.2018。

因此，因为我们已经在 Kibana 中有了 elasticsearch 索引，所以下一步将了解如何在 Kibana 中使用索引以饼状图、条形图、折线图等形式可视化数据。

我们将使用 CSV 格式的数据，并且是从 Kaggle.com 获取的数据，其中包含可以用于分析的数据。

此处使用的家庭医疗服务数据是从网站 Kaggle.com 获取的。

以下是 CSV 文件中可用的字段 −

Home_visits.csv 如下所示 −

以下是要与 logstash 一起使用的配置文件 −

默认情况下，logstash 将要在 elasticsearch 中上传的所有内容都视为字符串。在您的 CSV 文件中，如果有日期字段，您需要执行以下操作以获取日期格式。

For date field −

对于地理位置，elasticsearch 的理解如下 −

因此，我们需要确保经度和纬度采用 elasticsearch 所需的格式。因此，我们首先需要将经度和纬度转换为浮点数，然后再重命名它，使其作为 location JSON 对象的一部分，其中包含 lat 和 lon 。这里显示了代码 −

如要将字段转换成整数，请使用以下代码 −

处理完字段后，运行以下命令将数据上传到 elasticsearch −

现在，我们可以在上述上载的索引上创建索引模式，并进一步使用它来创建可视化效果。

我们将从 Kibana UI 使用 Dev Tools。Dev Tools 有助于将数据上载到 Elasticsearch，而无需使用 Logstash。我们可以发布、放置、删除、搜索使用 Dev Tools 在 Kibana 中想要的数据。

在本节中，我们将尝试将示例数据加载到 Kibana 本身。我们可以使用它来练习示例数据并在 Kibana 功能中进行操作以很好地理解 Kibana。

让我们从以下 URL 获取 json 数据并在 Kibana 中上载相同的数据。同样，您可以尝试将任何示例 json 数据加载到 Kibana 内。

在我们开始上载示例数据之前，我们需要让 json 数据带有在 Elasticsearch 中使用的索引。当我们使用 logstash 上载它时，logstash 会负责添加索引，用户不必关心 Elasticsearch 所需的索引。

我们可以使用以下命令实现该操作 −

我们能够获取与我们给出的标题匹配的记录。

为此，请转到 Kibana UI，然后单击管理 −

要使用 Kibana，我们首先必须创建从 Elasticsearch 中填充内容的索引。你可以获取从 Elasticsearch → 索引管理提供的全部索引，如图所示 −

目前 Elasticsearch 中有上述索引。文档计数告诉我们每个索引中可用的记录数。如果有任何索引已更新，文档计数将会不断变化。主存储将显示已上传的每个索引的大小。

若要在 Kibana 中创建新索引，我们需要单击下面的索引模板 −

单击索引模板后，会显示以下屏幕 −

请注意，创建索引模板按钮用于创建新索引。回想一下，我们在本教程的开始就已经创建了 countriesdata-28.12.2018。

单击创建索引模板来创建新索引。

会显示 Elasticsearch 中的索引，选择一个以创建新索引。

现在，单击下一步。

下一步是配置设置，你需要输入以下内容 −

如下图所示，Visiting_Date 是日期字段。选择 Visiting_Date 作为时间过滤字段名称。

单击 {} 按钮来创建索引。完成后，它将显示索引 medicalvisits-26.01.2019 中显示的所有字段，如下图所示 −

我们将在索引 medicalvisits-26.01.2019 中具有以下字段 −

该索引包含家庭就诊的所有数据。从 logstash 插入时，Elasticsearch 还添加了一些附加字段。

在左侧菜单中选择 Discover，如下所示 -

在右侧，它显示我们上一章中创建的 countriesdata- 28.12.2018 索引中可用数据的详细信息。

在左上角，它显示可用的记录总数 -

我们可以在此选项卡中获取 (countriesdata-28.12.2018) 索引内数据的详细信息。在上文显示的屏幕左上角，我们可以看到类似于新建、保存、打开、共享、检查和自动刷新的按钮。

如果你单击“自动刷新”，它会显示如下屏幕：

你可以通过单击上面的“秒”、“分钟”或“小时”来设置自动刷新间隔。Kibana 将自动刷新屏幕，并在每次设置的间隔计时器后获取最新数据。

来自 index:countriesdata-28.12.2018 的数据如下所示：

所有字段以及数据以行方式显示。单击箭头展开行，它将以表格式或 JSON 格式提供详细信息

转到 Discover 选项卡并选择索引:*medicalvisits-26.01.2019*

它显示了消息 - “没有结果与你的搜索条件相符”，为我们选择的索引在过去 15 分钟内。该索引包含了 2015 年、2016 年、2017 年和 2018 年的数据。

更改时间范围，如下所示

单击绝对选项卡。

选择自 - 1 月 1 日 2017 年和至 - 12 月 31 日 2017 年，因为我们将分析 2017 年的数据。

单击按钮添加时间范围。它将向你显示数据和条形图，如下所示

这是 2017 年的月度数据

由于我们还存储了时间加上日期，我们也可以按小时和分钟过滤数据。

The figure shown above displays the hourly data for the year 2017.

Here the fields displayed from the index − medicalvisits-26.01.2019

We have the available fields on left side as shown below −

You can select the fields from available fields and convert the data into tabular format as shown below. Here we have selected the following fields −

The tabular data for above fields is shown here −

聚合指的是某个特定搜索查询或过滤器获得的文档集合或文档集。聚合构成在 Kibana 中构建所需的视化的主要概念。

每当执行任何可视化时，你需要确定标准，这意味着你要以什么方式对数据进行分组以对其执行度量。

在这一部分中，我们将讨论两种类型的聚合 −

存储段主要包含一个键和一个文档。执行聚合时，会将文档放置在相应的存储段中。因此，最终你应该看到存储段列表，每个存储段都包含文档列表。在 Kibana 中创建可视化时你会看到的存储段聚合列表如下所示 −

存储段聚合具有以下列表 −

在创建时，你需要为存储段聚合确定其中之一，即对存储段中的文档进行分组。

例如，对于分析，考虑我们在本教程开头上传的国家数据。countries 索引中可用的字段有国家名称、面积、人口、区域。在国家数据中，我们有国家名称及其人口、区域和面积。

让我们假设我们要按区域划分数据。然后，每个区域中的国家将成为我们的搜索查询，因此在这种情况下，区域将形成我们的存储段。下面的框图显示 R1、R2、R3、R4、R5 和 R6 是我们获得的存储段，而 c1、c2 …​c25 是属于存储段 R1 至 R6 的文档列表。

我们可以看到每个存储段中有一些圆圈。它们是基于搜索标准的文档集，并被视为属于各个存储段的一部分。在存储段 R1 中，我们有文档 c1、c8 和 c15。这些文档是属于该区域的国家，对于其他的存储段而言也是如此。因此，如果我们计算存储段 R1 中的国家数量，则是 3，R2 为 6，R3 为 6，R4 为 2，R5 为 5，R6 为 4。

因此，通过存储段聚合，我们可以将文档聚合到存储段中，并像上面显示的那样获得该存储段中的文档列表。

到目前为止，我们所具有的存储段聚合列表有 −

现在让我们详细讨论如何逐个形成这些存储段。

日期直方图聚合用于日期字段。因此，如果你要用于可视化的索引在该索引中具有日期字段，则只能使用这种聚合类型。这是一个多存储段聚合，这意味着你有一些文档可以作为多个存储段的一部分。需要针对这种聚合使用一个间隔，具体信息如下 −

将“Bucket聚合”选择为“日期直方图”时，它将显示“字段”选项，其中仅提供与日期相关的字段。选择字段后，你需要选择具有以下详细信息的“时间间隔”−

因此，根据所选索引、字段和时间间隔中的文档，将对文档进行分类。例如，如果你选择每月时间间隔，则会将基于日期的文档转换为多个子段，根据月份（即 1 月至 12 月），文档将被放入子段中。在这里，1 月、2 月……12 月将是子段。

你需要一个日期字段才能使用此聚合类型。在这里，我们会有一个日期范围，即从日期到日期。子段将根据给定的日期范围包含文档。

使用“过滤器”类型聚合，将根据过滤器形成子段。在这里，你会获得一个多子段，根据过滤器条件，一个文档可以存在一个或多个子段中。

使用过滤器，用户可以在过滤器选项中编写查询，如下所示 − 。

你可以通过使用“添加过滤器”按钮添加多个你选择的过滤器。

此类型的聚合应用于数字字段，它会根据应用的时间间隔将文档分组到一个子段中。例如，0-50、50-100、100-150 等。

此类型的聚合被用于主要是用于 IP 地址。

我们拥有的索引，即 contriesdata-28.12.2018 没有类型为 IP 的字段，所以它会显示如上所示的消息。如果你碰巧有 IP 字段，你可以像上所示那样指定其中的“自”和“至”值。

此类型的聚合需要字段类型为数字。你需要指定范围，文档将被列在属于此范围的子段中。

如果需要，你可以通过单击“添加范围”按钮添加更多范围。

此类型的聚合主要用于字符串字段。

此类型的聚合用于所有可用的字段，例如数字、字符串、日期、布尔值、IP 地址、时间戳等。请注意，这是我们将在本教程中处理的所有可视化中将要使用的聚合。

我们有一个“排序依据”选项，我们可以根据我们选择的指标对数据进行分组。大小是指你希望在可视化中显示的子段数。

接下来，我们来谈谈指标聚合。

指标聚合主要指的是对子段中存在的文档进行的数学计算。例如，如果你选择一个数字字段，你可以针对此字段进行的指标计算包括计数、求和、最小值、最大值和平均值等。

这里给出了我们将讨论的指标聚合的列表 −

在本节中，让我们讨论我们将经常用到的重要指标 −

该指标将应用于我们已经在上面讨论过的各个子段聚合中。

接下来，我们在此讨论指标聚合列表 −

转到 Kibana 可视化，如下所示 −

我们没有创建任何可视化，所以它显示空白，并且有一个按钮用于创建一个可视化。

单击屏幕上显示的按钮 Create a visualization ，它会把你带到屏幕，如下所示 −

在此，你可以选择可视化数据所需的选项。我们将在接下来的章节中详细了解每一个选项。现在，我们将选择饼图作为开始。

选择可视化类型后，你现在需要选择你想要处理的索引，它会把你带到屏幕，如下所示 −

现在我们有了一个默认的饼图。我们将使用 countriesdata-28.12.2018 获取饼图格式中国家数据中可用的区域数量。

左侧有我们选择为计数的指标。在桶中，有两个选项，拆分切片和拆分图表。我们将使用拆分切片选项。

现在，选择“拆分片段”，它将显示以下选项 −

现在，选择聚合项“项”，它将显示更多选项，可以输入如下 −

字段下拉框将包含从索引 countriesdata 中选择的所有字段。我们已选择 Region 字段和 Order By。请注意，我们已为 Order By 选择 count 指标。我们将按照降序对其排序，大小设定为 10。这意味着，我们将从 countries 索引中获取排名前 10 的区域计数。

现在，单击如下所示的高亮分析按钮，您应会看到右侧已更新的饼图。

Open Kibana and click Visualize tab on left side as shown below −

Click the + button to create a new visualization −

Click the Horizontal Bar listed above. You will have to make a selection of the index you want to visualize.

Select the countriesdata-28.12.2018 index as shown above. On selecting the index, it displays a screen as shown below −

It shows a default count. Now, let us plot a horizontal graph where we can see the data of top 10 country wise populations.

For this purpose, we need to select what we want on the Y and X axis. Hence, select the Bucket and Metric Aggregation −

Now, if you click on Y-Axis, it will display the screen as shown below −

Now, select the Aggregation that you want from the options shown here −

Note that here we will select the Max aggregation as we want to display data as per the max population available.

Next we have to select the field whose max value is required. In the index countriesdata-28.12.2018, we have only 2 numbers field – area and population.

Since we want the max population, we select the Population field as shown below −

By this, we are done with the Y-axis. The output that we get for Y-axis is as shown below −

Now let us select the X-axis as shown below −

If you select X-Axis, you will get the following output −

选择按词条聚合。

从下拉菜单中选择字段。我们想要按照国家获取人口，所以选择国家字段。我们有以下排序选项：

我们将按最大人口排序，因为我们希望人口最多的国家优先显示。添加了所需数据后，单击指标数据顶部所示的应用更改按钮，如下所示：

一旦你单击应用更改，我们将获得一个水平图形，其中我们可以看到中国是人口最多的国家，其次是印度、美国等。

类似地，你可以通过选择所需的字段来绘制不同的图形。接下来，我们将此可视化效果保存为 max_population，以便以后用于创建仪表板。

在下一部分，我们将创建垂直条形图。

单击可视化选项卡，并使用垂直条形图和索引 countriesdata-28.12.2018 创建一个新的可视化效果。

在此垂直条形图可视化效果中，我们将创建以国家地区为维度的条形图，即按照区域面积从大到小对国家进行展示。

因此，让我们选择 Y 和 X 轴，如下所示：

因此，首先创建一个可视化效果，然后选择索引为国家数据的饼图。我们要在饼图格式中显示国家数据中可用区域的数量。

左侧具有提供数量的指标。在存储区中，有 2 个选项：拆分切片和拆分图表。现在，我们将使用拆分切片选项。

现在，如果你选择拆分切片，它将显示以下选项：

选择按词条聚合，它将显示更多选项，输入如下所示：

字段下拉菜单将包含从所选索引中的所有字段。我们选择了区域字段，并将其排序方式选为计数。我们将按降序排序，大小设置为 10。因此，这里我们将获得国家索引的 10 个区域数量。

现在，单击如下所示的高亮显示的播放按钮，你应该会在右侧看到更新后的饼图。

首先，让我们创建一个可视化，选择一条折线图来显示数据并使用 contriesdata 作为索引。我们需要创建 Y 轴和 X 轴，详细信息如下所示——

转到可视化并选择以 countriesdata 为索引的区域。我们需要选择 Y 轴和 X 轴。我们将绘制国家/地区的最大面积的面积图。

So here the X- axis and Y-axis will be as shown below −

After you click the apply changes button, the output that we can see is as shown below −

From the graph, we can observe that Russia has the highest area, followed by Canada, United States , China and Brazil. Save the visualization to use it later.

首先，我们需要通过单击如下所示的左侧可视化选项卡来创建可视化 −

如上所示，选择可视化类型作为热图。它会要求您选择如下所示的索引 −

如上所示，选择索引 countriesdata-28.12.2018。一旦选择索引，我们就可以选择如下所示的数据 −

如上所示，选择指标 −

如上所示，从下拉框中选择 Max 聚合。

由于我们希望按国家绘制 Max 面积，因此我们选择 Max。

现在将选择如下所示的区间值 −

现在，让我们选择 X 轴，如下所示 −

我们将聚合用作词条、字段用作国家且按最大区域排序。单击应用更改，如下所示 −

如果您单击“应用更改”，则热图如下所示 −

热图以不同的颜色显示，区域范围显示在右侧。您可以通过单击区域范围旁边的圆圈来更改颜色，如下所示 −

用于坐标地图的 Bucket 聚合是 geohash 聚合。对于这种聚合类型，您要使用的索引应具有地理点类型字段。地理点是纬度和经度的组合。

我们将使用 Kibana 开发工具创建一个索引，并向其中添加批量数据。我们将添加映射并添加所需的 geo_point 类型。

我们要使用的数据如下所示 −

现在，在 Kibana 开发工具中运行以下命令，如下所示 −

现在，在 Kibana 开发工具中运行以上命令 −

上述将创建类型为 _doc 的索引名称城市，字段位置为类型 geo_point。

现在，让我们向索引添加数据：城市 −

我们已完成创建名称为 cities พร้อม数据的索引。现在，让我们使用管理选项卡为城市创建索引模式。

此处显示了 cities 索引中字段的详细信息 −

我们可以看到 location 是类型 geo_point。我们现在可以使用它来创建可视化。

转至可视化并选择坐标地图。

选择索引模式城市，并按如下所示配置聚合指标和桶 −

如果您单击“分析”按钮，则可以看到以下屏幕 −

根据经度和纬度，圆圈绘制在地图上，如上所示。

我们创建一个新索引，以便使用区域地图可视化工具。我们即将上传的数据如下所示 −

请注意，我们将在 dev 工具中使用 _bulk 上载数据。

现在，转到 Kibana Dev 工具并执行以下查询 −

接下来，让我们创建索引 allcountries。我们指定的国家字段类型为 keyword −

Note − 为了使用区域地图，我们需要指定字段类型，该字段类型应与聚合一起使用，且类型为关键字。

完成后，使用 _bulk 命令上传数据。

现在我们将创建索引模式。转到 Kibana 管理选项卡并选择创建索引模式。

下面将显示来自 allcountries 索引的字段。

现在，我们使用区域地图创建可视化效果。转到可视化效果并选择区域地图。

完成后，选择索引 allcountries 并继续。

按照以下所示选择聚合指标和存储桶指标 −

在此，我们选择字段为国家，因为我想在世界地图上显示与此相同的字段。

对于区域地图，还需要选择选项选项卡，如下所示 −

此选项选项卡具有图层设置配置，需要这些配置将数据标识到世界地图中。

矢量地图具有以下选项 −

在此，我们选择世界各国，因为我具有各个国家地区的数据。

Join Field 具有以下详细信息 −

在我们索引中，我们有国家名称，因此我们将选择国家名称。

在样式设置中，您可以选择国家/地区要显示的颜色 −

我们选择红色。我们不会触及其他详细信息。

现在，单击“分析”按钮，查看如下显示在地图上的国家地区详细信息 −

您还可以为矢量地图和联接字段添加您自己的 Kibana 设置。为此，从 Kibana 配置文件夹中转至 kibana.yml，并添加以下详细信息 −

选项选项卡中的矢量地图将使用上述数据填充，而不是默认数据。请注意，必须启用给出的 URL 的 CORS，以便 Kibana 可以下载它。所使用的 JSON 文件应使坐标连续。例如：−

当 region-map 矢量地图详细信息自托管时，选项选项卡如下所示 −

如需开始使用 Gauge，请转到可视化，并从 Kibana UI 中选择可视化选项卡。

点击 Gauge，并选择你想要使用的索引。

我们将在 medicalvisits-26.01.2019 索引上工作。

选择 2017 年 2 月的时间范围。

现在你可以选择指标和存储桶聚合。

我们选择了计数作为指标聚合。

我们选择的桶聚合是条件和选择的字段是 Number_Home_Visits。

从数据选项选项卡中，选择显示在下面的选项−

Gauge 类型可以是圆或弧。我们选择了弧，其他所有值均为默认值。

我们添加的预定义范围显示在这里 −

选择的颜色是绿到红。

现在，点击分析按钮，以 Gauge 形式查看可视化，如下所示 −

转到可视化选项卡，并选择目标，如下所示 −

选择目标并选择索引。

使用 medicalvisits-26.01.2019 作为索引。

选择指标聚合和桶聚合。

要获取示例数据，请转到 Kibana 主页并单击“添加示例数据”，如下所示：

单击“加载数据集和 Kibana 仪表板”。这会将您带到如下图所示的屏幕：

单击示例电子商务订单的“添加”按钮。加载示例数据需要一些时间。完成后，您将收到一条警报消息，“示例电子商务数据已加载”。

现在，转到画布可视化，如下所示：

单击“画布”，它将显示如下图所示的屏幕：

我们已经添加了电子商务和 Web 流量示例数据。我们可以创建新的工作区或使用现有工作区。

在这里，我们将选择现有的工作区。选择电子商务收入追踪工作区名称，它将显示如下图所示的屏幕：

我们将克隆工作区，以便对其进行更改。要克隆现有工作区，请单击左下方显示的工作区名称：

单击名称并选择“克隆”选项，如下所示：

单击克隆按钮，它将创建电子商务收入追踪工作区的副本。您可以按以下方式找到它：

在本部分中，让我们了解如何使用工作区。如果您看到上面的工作区，它有 2 页。因此，在画布中，我们可以在多页中表示数据。

第 2 页显示如下：

选择第 1 页，然后单击左侧显示的“总销售额”，如下所示：

在右侧，您将获得与之相关的数据：

现在使用的默认样式是绿色。我们可以在此处更改颜色，并检查相同内容的显示。

我们还更改了文本设置的字体和大小，如下所示：

要向工作区添加新页面，请执行以下操作：

当页面创建如下所示 −

单击“添加元素”，它将显示所有可能的可视化，如下所示 −

我们已经添加了“数据表”和“面积图”两个元素，如下所示

您可以在同一页面中添加更多数据元素，或者添加更多页面。

要在 Kibana 中创建仪表板，请单击“仪表板”选项，如下所示 −

现在，单击“创建新仪表板”按钮，如下所示。它将带我们到如下所示的屏幕 −

请注意，到目前为止，我们还没有创建任何仪表板。顶部有选项，我们可以在其中保存、取消、添加、选项、共享、自动刷新，还可以更改时间以获取仪表板上的数据。我们将单击上面显示的“添加”按钮来创建一个新仪表板。

当我们单击“添加”按钮（左上角）时，它会显示我们创建的可视化，如下所示 −

选择您要添加到仪表板的可视化。我们将选择前三个可视化，如下所示 −

这是它们在屏幕上同时显示的方式 −

因此，作为用户，您能够获得我们上传的数据的总体详细信息——按国家/地区划分，包括国家/地区名称、区域名称、面积和人口字段。

所以现在我们知道了所有可用的区域，按降序排列的每个国家的人口最多、面积最大的区域等等。

这只是我们上传的示例数据可视化，但在实际中，跟踪您业务的详细信息变得非常容易，例如您有一个每月或每天获得数百万次点击的网站，您想要跟踪每天、每小时、每分钟、每秒完成的销售额，并且如果您有 ELK 堆栈，Kibana 可以按您需要的方式每小时、每分钟、每秒在您眼前显示您的销售可视化。它会显示实际世界中正在发生的实时数据。

总的来说，Kibana 在按天、按小时或每分钟提取有关您业务交易的准确详细信息方面发挥着非常重要的作用，因此公司知道进展如何。

您可以使用顶部的“保存”按钮保存仪表板。

有一个标题和描述，您可以在其中输入仪表板的名称和简短描述，说明仪表板的作用。现在，单击“确认保存”以保存仪表板。

目前，您会看到显示的数据是过去 15 分钟的数据。请注意，这是一个没有时间字段的静态数据，因此显示的数据不会改变。当您将数据连接到实时系统时，更改时间也将显示反映的数据。

默认情况下，您会看到“过去 15 分钟”，如下所示 −

单击“过去 15 分钟”，然后将显示您可选择的时段范围。

请注意，有快速、相对、绝对和最新选项。以下屏幕截图显示了快速选项的详细信息 −

现在，单击相对以查看可用的选项 −

您可以在此处指定分钟、小时、秒、月、年前的起始和结束日期。

绝对选项具有以下详细信息 −

您可以看到日历选项，并可以选择一个日期范围。

“最新”选项将回传“过去 15 分钟”选项以及您最近选择的其他选项。选择时段范围将更新位于该时段范围内的数据。

我们还可以在仪表板上使用搜索和筛选器。在搜索中，假设如果我们需要获取特定区域的详细信息，我们可以添加搜索，如下所示 −

在上述搜索中，我们使用了 Region（区域）字段，并且需要显示区域为 OCEANIA（大洋洲）的详细信息。

我们获得以下结果 −

根据以上数据，我们可以说在大洋洲地区，澳大利亚人口最多，面积最大。

类似地，我们也可以添加筛选器，如下所示 −

接下来，单击“添加筛选器”按钮，它将显示索引中提供的字段的详细信息，如下所示 −

选择您要在其上进行筛选的字段。我将使用 Region（区域）字段来获取亚洲地区详细信息，如下所示 −

保存筛选器，您应该会看到以下筛选器 −

现在，数据将按所添加的筛选器显示 −

您还可以添加更多筛选器，如下所示 −

您可以单击“禁用”复选框来禁用筛选器，如下所示。

您可以单击同一复选框以将其激活并激活筛选器。请注意，有一个删除按钮可用于删除筛选器。编辑按钮可用于编辑筛选器或更改筛选器选项。

对于显示的可视化效果，您将看到如下所示的三个点 -

单击并显示如下所示的选项 -

单击“检查”，在表格格式中为区域提供详细信息，如下所示 -

还有一个选项可以以 CSV 格式下载可视化效果，以防您想在 Excel 表格中查看它。

下一个选项全屏将以全屏模式获取可视化效果，如下所示 -

您可以使用该按钮退出全屏模式。

我们可以使用共享按钮共享仪表盘。单击共享按钮后，您将获得以下显示 -

您还可以使用嵌入代码在您的网站上显示仪表盘或使用永久链接，永久链接将是与他人共享的链接。

URL 将如下所示 -

当您想比较与时间相关的数据时，可以使用 Timelion。例如，您有一个网站，并且您每天都会获得浏览量。您想分析数据，其中您要将本周数据与上周进行比较，即星期一到星期一，星期二到星期二，依此类推，了解浏览量和流量是如何不同的。

要开始使用 Timelion，请点击 Timelion，如下所示 −

Timelion 默认显示所有索引的时间轴，如下所示 −

Timelion 使用表达式语法。

Note − es(*) ⇒ 表示所有索引。

要获取可用于 Timelion 的函数详细信息，只需点击文本区域，如下所示 −

它会为您提供可用于表达式语法的函数列表。

当您开始使用 Timelion 时，它会显示一个欢迎信息，如下所示。强调的部分，即跳转到函数引用，给出了可用于 Timelion 的所有函数的详细信息。

Timelion 欢迎信息如下所示 −

点击下一步按钮，它将引导您了解其基本功能和用法。现在，当您点击下一步时，您可以看到以下详细信息 −

点击帮助按钮，以获取 Timelion 可提供的函数引用的详细信息 −

Timelion 的设置在 Kibana 管理 → 高级设置中完成。

点击高级设置并从类别中选择 Timelion

选择 Timelion 后，它将显示 timelion 配置所需的所有必要字段。

在以下字段中，您可以更改要在索引上使用的默认索引和时间字段 −

默认设置是 _all，时间字段是 @timestamp。我们保留原样，在时间表本身更改索引和时间字段。

我们将使用索引：medicalvisits-26.01.2019。以下是从 2017 年 1 月 1 日至 2017 年 12 月 31 日在时间表中显示的数据 -

用于上述可视化的表达式如下 -

我们使用了索引 medicalvisits-26.01.2019，该索引中的时间字段是 Visiting_Date，并使用了条形图功能。

下面我们按天分析了 2017 年 1 月份的 2 个城市。

使用表达式为：

此处显示了 2 天的时间表对比 -

创建索引的命令如下所示 -

执行此命令后，将创建一个空索引用户数据。

已完成索引创建。现在将添加索引中的数据 -

您可以如下向索引中添加数据 -

我们将向用户数据索引中添加一个记录 -

因此，我们在用户数据索引中有 2 个记录。

我们可以如下获得记录 1 的详细信息 -

您可以如下获得所有记录 -

Thus, we can get all the records from usersdata as shown above.

To update the record, you can do as follows −

We have changed the name from “Ervin Howell” to “Clementine Bauch”. Now we can get all records from the index and see the updated record as follows −

You can delete the record as shown here −

Now if you see the total records we will have only one record −

We can delete the index created as follows −

现在，如果你检查可用的索引，我们将不会在其中找到 usersdata 索引，因为已经删除了索引。

要获取 Kibana 中的监控详细信息，请单击如下所示的监控选项卡 −

由于我们是首次使用监控，因此需要保持其处于打开状态。为此，请单击如上所示的 Turn on monitoring 按钮。以下是针对 Elasticsearch 显示的详细信息 −

它提供了 elasticsearch 的版本、可用的磁盘空间、添加到 elasticsearch 的索引、磁盘使用情况等。

此处显示了 Kibana 的监控详细信息 −

它提供了请求及其最大响应时间，以及正在运行的实例和内存使用情况。

在执行可视化时，您可以按以下方式共享 −

使用“共享”按钮以嵌入代码或永久链接的形式与他人共享。

在嵌入代码的情况下，您获得以下选项 −

您可以为快照或已保存对象生成 iframe 代码作为短网址或长网址。快照不会提供最新数据，用户将能够查看在共享链接时保存的数据。稍后进行的任何更改将不会反映在内。

在已保存对象的情况下，您将获得对该可视化所做的最新更改。

针对长网址的快照 IFrame 代码 −

针对短网址的快照 IFrame 代码 −

如快照和快照网址所示。

短网址使用 −

关闭短网址，链接看起来如下 −

当您在浏览器中点击上述链接时，您会获得与上文所示相同的可视化。上述链接是本地托管的，因此在本地环境外使用时不起作用。

您可以在 Kibana 中获取 CSV 报告，其中有数据，该数据通常位于“发现”选项卡中。

转到“发现”选项卡，然后获取您需要数据的任何索引。在此，我们取了索引：countriesdata-26.12.2018。以下是从索引显示的数据：

您可以创建如下所示的表格数据：

我们从“可用字段”中选择了字段，而之前看到的则转换为表格格式。

您可以通过如下所示方式获取CSV报告中的上述数据：

共享按钮有CSV报告和永久链接选项。您可以单击“CSV报告”并下载。

请注意，要获取CSV报告，您需要保存数据。

确认“保存”，然后单击“共享”按钮和CSV报告。您会看到如下显示：

单击“生成CSV”以获取报告。完成后，它会指示您转到管理选项卡。

转到“管理”选项卡→报告

它显示报告名称、创建时间、状态和操作。您可以单击上面突出显示的下载按钮，获取CSV报告。

我们刚刚下载的CSV文件如下所示：