Thứ năm, 12/03/2015 | 00:00 GMT+7

Cách sử dụng Trang tổng quan và image Kibana

Kibana 4 là một nền tảng phân tích và hình ảnh hóa được xây dựng trên Elasticsearch để giúp bạn hiểu rõ hơn về dữ liệu của bạn . Trong hướng dẫn này, ta sẽ giúp bạn bắt đầu với Kibana, bằng cách chỉ cho bạn cách sử dụng giao diện của nó để lọc và trực quan hóa các thông báo log được thu thập bởi ngăn xếp Elasticsearch ELK. Ta sẽ đề cập đến các thành phần giao diện chính và trình bày cách tạo tìm kiếm, hình ảnh hóa và trang tổng quan.

Yêu cầu

Hướng dẫn này là phần thứ ba trong loạt bài về Ghi log tập trung với Logstash và Kibana .

Nó giả định bạn có một cài đặt ELK đang hoạt động. Các ví dụ giả định bạn đang thu thập log truy cập syslog và Nginx. Nếu bạn không thu thập các loại log này, bạn có thể sửa đổi các trình diễn để làm việc với các thông báo log của bạn .

Nếu bạn muốn làm theo hướng dẫn này chính xác như đã trình bày, bạn phải có cài đặt sau, theo hai hướng dẫn đầu tiên trong loạt bài này:

Khi đã sẵn sàng tiếp tục, hãy xem tổng quan về giao diện Kibana.

Tổng quan về giao diện Kibana

Giao diện Kibana được chia thành bốn phần chính:

  • Khám phá
  • Hình dung
  • console
  • Cài đặt

Ta sẽ xem xét những điều cơ bản của từng phần, theo thứ tự được liệt kê và trình bày cách sử dụng từng phần của giao diện.

Kibana Discover

Khi bạn kết nối lần đầu với Kibana 4, bạn sẽ được đưa đến trang Khám phá. Theo mặc định, trang này sẽ hiển thị tất cả log nhận được mới nhất của ngăn xếp ELK của bạn. Tại đây, bạn có thể lọc qua và tìm các thông báo log cụ thể dựa trên Truy vấn tìm kiếm , sau đó thu hẹp kết quả tìm kiếm trong một phạm vi thời gian cụ thể bằng Bộ lọc thời gian .

Dưới đây là bảng phân tích các yếu tố giao diện Kibana Discover:

  • Thanh Tìm kiếm: Trực tiếp dưới menu chuyển chính. Sử dụng điều này để tìm kiếm các trường cụ thể và / hoặc toàn bộ thư
  • Bộ lọc Thời gian: Trên cùng bên phải (biểu tượng đồng hồ). Sử dụng điều này để lọc log dựa trên các phạm vi thời gian tương đối và tuyệt đối khác nhau
  • Bộ chọn Trường: Bên trái, dưới thanh tìm kiếm. Chọn các trường để sửa đổi những trường nào được hiển thị trong Chế độ xem log
  • Biểu đồ ngày: Biểu đồ thanh bên dưới thanh tìm kiếm. Theo mặc định, điều này hiển thị số lượng tất cả log , so với thời gian (trục x), được trùng với bộ lọc tìm kiếm và thời gian. Bạn có thể nhấp vào thanh hoặc nhấp và kéo, để thu hẹp bộ lọc thời gian
  • Chế độ xem log : Dưới cùng bên phải. Sử dụng công cụ này để xem các thông báo log riêng lẻ và hiển thị dữ liệu log được lọc theo các trường . Nếu không có trường nào được chọn, toàn bộ thông báo log sẽ được hiển thị

Hoạt ảnh này minh họa một số tính năng chính của trang Khám phá:

Cách sử dụng Kibana Discover

Dưới đây là mô tả từng bước về những gì đang được thực hiện:

  1. Đã chọn trường “loại”, trường này giới hạn những gì được hiển thị cho mỗi bản ghi log (dưới cùng bên phải) — theo mặc định, toàn bộ thông báo log được hiển thị
  2. Đã tìm kiếm type: "nginx-access" , chỉ trùng với log truy cập Nginx
  3. Đã mở rộng log truy cập Nginx mới nhất để xem xét chi tiết hơn

Lưu ý kết quả đang được giới hạn trong "15 phút cuối cùng". Nếu bạn không nhận được bất kỳ kết quả nào, hãy đảm bảo có log phù hợp với truy vấn tìm kiếm của bạn, được tạo trong repository ảng thời gian được chỉ định.

Thông báo log được thu thập và lọc phụ thuộc vào cấu hình Logstash và Logstash Forwarder của bạn. Trong ví dụ của ta , ta đang thu thập log truy cập syslog và Nginx và lọc chúng theo “loại”. Nếu bạn đang thu thập thông báo log nhưng không lọc dữ liệu thành các trường riêng biệt, việc truy vấn chúng sẽ khó khăn hơn vì bạn sẽ không thể truy vấn các trường cụ thể.

Cú pháp tìm kiếm

Tìm kiếm cung cấp một cách dễ dàng và mạnh mẽ để chọn một tập hợp con các thông báo log cụ thể. Cú pháp tìm kiếm khá dễ hiểu và cho phép toán tử boolean, ký tự đại diện và lọc trường. Ví dụ: nếu bạn muốn tìm log truy cập Nginx được tạo bởi user Google Chrome, bạn có thể tìm kiếm type: "nginx-access" AND agent: "chrome" . Bạn cũng có thể tìm kiếm theo các server hoặc dải địa chỉ IP client cụ thể hoặc bất kỳ dữ liệu nào khác có trong log của bạn.

Khi bạn đã tạo một truy vấn tìm kiếm mà bạn muốn giữ lại, bạn có thể thực hiện điều đó bằng cách nhấp vào biểu tượng Lưu Tìm kiếm rồi nhấp vào nút Lưu , giống như trong hoạt ảnh này:

Cách lưu Tìm kiếm Kibana

Các tìm kiếm đã lưu có thể được mở bất kỳ lúc nào bằng cách nhấp vào biểu tượng Tải Tìm kiếm đã Lưu và chúng cũng được dùng khi tạo hình ảnh trực quan.

Ta sẽ lưu type: "nginx-access" tìm kiếm type: "nginx-access" thành "kiểu truy cập nginx" và sử dụng nó để tạo hình ảnh trực quan.

Kibana Visualize

Trang Kibana Visualize là nơi bạn có thể tạo, sửa đổi và xem các hình ảnh trực quan tùy chỉnh của bạn . Có một số kiểu trực quan hóa khác nhau, từ Biểu đồ thanh dọc và Biểu đồ hình tròn đến Bản đồ xếp (để hiển thị dữ liệu trên bản đồ) và Bảng dữ liệu . Hình ảnh trực quan cũng có thể được chia sẻ với những user khác có quyền truy cập vào version Kibana của bạn.

Nếu đây là lần đầu tiên bạn sử dụng hình ảnh hóa Kibana, bạn phải reload danh sách trường của bạn trước khi tiếp tục. Hướng dẫn thực hiện việc này được đề cập trong phần phụ Reload trường dữ liệu , trong phần Cài đặt Kibana .

Tạo biểu đồ thanh dọc

Để tạo hình ảnh trực quan, trước tiên, hãy nhấp vào mục menu Hình ảnh hóa .

Quyết định loại hình ảnh trực quan bạn muốn và chọn nó. Ta sẽ tạo một biểu đồ thanh dọc , đây là một điểm khởi đầu tốt.

Đến đây bạn phải chọn một nguồn tìm kiếm. Bạn có thể tạo một tìm kiếm mới hoặc sử dụng một tìm kiếm đã lưu. Ta sẽ đi với phương pháp sau và chọn loại tìm kiếm truy cập nginx mà ta đã tạo trước đó.

Lúc đầu, biểu đồ xem trước, ở phía bên phải, sẽ là một thanh liền (giả sử rằng tìm kiếm của bạn đã tìm thấy thông báo log ) vì nó chỉ bao gồm trục Y của “Đếm”. Đó là, nó chỉ đơn giản là hiển thị số lượng log đã được tìm thấy với truy vấn tìm kiếm được chỉ định.

Để làm cho hình ảnh hóa hữu ích hơn, hãy thêm một số group mới vào đó.

Đầu tiên, thêm group trục X , sau đó nhấp vào menu thả xuống Tổng hợp và chọn “Biểu đồ ngày”. Nếu bạn nhấp vào nút Áp dụng , thanh đơn sẽ chia thành nhiều thanh dọc theo trục X. Như vậy, Số lượng được hiển thị dưới dạng nhiều thanh, được chia thành các khoảng thời gian (có thể được sửa đổi bằng cách chọn khoảng thời gian từ trình đơn thả xuống) - tương tự như những gì bạn sẽ thấy trên trang Khám phá.

Nếu ta muốn làm cho biểu đồ thú vị hơn một chút, ta có thể nhấp vào nút Thêm Tổng hợp phụ . Chọn loại group Split Bars . Nhấp vào trình đơn thả xuống Tổng hợp phụ và chọn “Điều khoản quan trọng”, sau đó nhấp vào trình đơn thả xuống Trường và chọn “clientip.raw”, sau đó nhấp vào trường Kích thước và nhập “10”. Nhấp vào nút Áp dụng để tạo biểu đồ mới.

Đây là ảnh chụp màn hình của những gì bạn sẽ thấy tại thời điểm này:

Cài đặt hình ảnh hóa Kibana

Nếu log đang được trực quan hóa được tạo bởi nhiều địa chỉ IP (tức là có nhiều người đang truy cập trang web ), bạn sẽ thấy rằng mỗi thanh sẽ được chia thành các đoạn màu. Mỗi phân đoạn được tô màu đại diện cho Số lượng log được tạo bởi một địa chỉ IP cụ thể (tức là một khách truy cập cụ thể vào trang web ) và biểu đồ sẽ hiển thị tối đa 10 phân đoạn khác nhau (do cài đặt Kích thước). Bạn có thể di chuột qua và nhấp vào bất kỳ mục nào trong biểu đồ để xem chi tiết các thông báo log cụ thể.

Khi đã sẵn sàng để lưu hình ảnh trực quan của bạn , hãy nhấp vào biểu tượng Lưu hình ảnh hóa , gần trên cùng, sau đó đặt tên cho nó và nhấp vào nút Lưu .

Tạo một hình ảnh hóa khác

Trước khi tiếp tục phần tiếp theo, nơi ta sẽ trình bày cách tạo trang tổng quan, bạn nên tạo thêm ít nhất một hình ảnh trực quan. Hãy thử và khám phá các kiểu hình ảnh hóa khác nhau.

Ví dụ: bạn có thể tạo biểu đồ hình tròn gồm 5 “loại” log hàng đầu (số lượng cao nhất). Để thực hiện việc này, hãy nhấp vào Hình ảnh hóa rồi chọn Biểu đồ hình tròn . Sau đó, sử dụng một tìm kiếm mới và để tìm kiếm là “ ” (tức là tất cả log của bạn). Sau đó, chọn * Split Slices ** bucket. Nhấp vào trình đơn thả xuống Tổng hợp và chọn “Điều khoản quan trọng”, nhấp vào trình đơn thả xuống Trường và chọn “type.raw”, sau đó nhấp vào trường Kích thước và nhập “5”. Bây giờ hãy nhấp vào nút Áp dụng và lưu hình ảnh trực quan là “Top 5”.

Đây là ảnh chụp màn hình của các cài đặt vừa được mô tả:

Cài đặt biểu đồ hình tròn

Bởi vì, trong ví dụ của ta , ta chỉ thu thập log hệ thống và log truy cập Nginx, sẽ chỉ có hai phần trong biểu đồ hình tròn.

Khi bạn đã hoàn tất việc tạo trực quan, hãy chuyển sang tạo trang tổng quan Kibana.

Trang tổng quan Kibana

Trang Control panel Kibana là nơi bạn có thể tạo, sửa đổi và xem các trang tổng quan tùy chỉnh của riêng mình. Với trang tổng quan, bạn có thể kết hợp nhiều hình ảnh trực quan vào một trang, sau đó lọc chúng bằng cách cung cấp truy vấn tìm kiếm hoặc bằng cách chọn bộ lọc bằng cách nhấp vào các phần tử trong trực quan. Trang tổng quan rất hữu ích khi bạn muốn xem tổng quan về log của bạn và tạo mối tương quan giữa các hình ảnh và log khác nhau.

Tạo trang tổng quan

Để tạo trang tổng quan Kibana, trước tiên, hãy nhấp vào mục menu Trang tổng quan .

Nếu bạn chưa tạo trang tổng quan trước đây, bạn sẽ thấy một trang gần như trống có nội dung “Sẵn sàng để bắt đầu?”. Nếu bạn không thấy màn hình này (tức là đã có các hình ảnh trực quan trên trang tổng quan ), hãy nhấn vào biểu tượng Trang tổng quan mới (ở bên phải thanh tìm kiếm) để đến đó.

Hoạt ảnh này trình bày cách có thể thêm hình ảnh trực quan vào trang tổng quan của bạn:

Tạo Trang tổng quan Kibana

Dưới đây là bảng phân tích các bước đang được thực hiện:

  1. Đã nhấp vào biểu tượng Thêm hình ảnh hóa
  2. Đã thêm biểu đồ hình tròn “Số lượng log ” và biểu đồ “Nginx: 10 khách hàng IP hàng đầu”
  3. Đã thu gọn menu Thêm hình ảnh hóa
  4. Sắp xếp lại và thay đổi kích thước các hình ảnh trực quan trên console
  5. Đã nhấp vào Lưu biểu tượng Trang tổng quan

Chọn tên cho trang tổng quan của bạn trước khi lưu nó.

Điều này sẽ cung cấp cho bạn một ý tưởng tốt về cách tạo trang tổng quan. Hãy tiếp tục và tạo bất kỳ trang tổng quan nào mà bạn nghĩ rằng bạn có thể cần . Tiếp theo, ta sẽ đề cập đến việc sử dụng trang tổng quan.

Sử dụng Trang tổng quan

Trang tổng quan có thể được lọc thêm bằng lệnh truy vấn tìm kiếm, thay đổi bộ lọc thời gian hoặc nhấp vào các phần tử trong hình ảnh trực quan.

Ví dụ: nếu bạn nhấp vào một phân đoạn màu cụ thể trong biểu đồ, Kibana sẽ cho phép bạn lọc cụm từ quan trọng mà phân đoạn đó đại diện. Dưới đây là một ví dụ về ảnh chụp màn hình về việc áp dụng bộ lọc cho trang tổng quan:

Lọc trang tổng quan

Đảm bảo nhấp vào nút Áp dụng ngay để lọc kết quả và vẽ lại các hình ảnh trực quan của trang tổng quan. Bộ lọc có thể được áp dụng và loại bỏ khi cần thiết.

Bộ lọc tìm kiếm và thời gian hoạt động giống như chúng hoạt động trong trang Khám phá, ngoại trừ chúng chỉ được áp dụng cho các tập hợp con dữ liệu được trình bày trong trang tổng quan.

Cài đặt Kibana

Trang Cài đặt Kibana cho phép bạn thay đổi nhiều thứ như giá trị mặc định hoặc mẫu index . Trong hướng dẫn này, ta sẽ đơn giản hóa và tập trung vào các phần Chỉ sốĐối tượng .

Reload trường dữ liệu

Khi bạn thêm các trường mới vào dữ liệu Logstash của bạn , ví dụ: nếu bạn thêm bộ lọc cho loại log mới, bạn có thể cần reload danh sách trường của bạn . Cần reload danh sách trường nếu bạn không thể tìm thấy các trường đã lọc trong Kibana, vì dữ liệu này chỉ được lưu vào bộ nhớ cache định kỳ.

Để làm như vậy, hãy nhấp vào mục menu Cài đặt , sau đó nhấp vào “logstash- *” (trong Mẫu index ):

 Reload  danh sách trường

Sau đó nhấp vào nút Reload Trường Danh sách màu vàng. Nhấn nút OK để xác nhận.

Chỉnh sửa các đối tượng đã lưu

Phần Đối tượng cho phép bạn chỉnh sửa, xem và xóa bất kỳ trang tổng quan, tìm kiếm và hình ảnh trực quan nào đã lưu của bạn.

Để đến đó, hãy nhấp vào mục menu Cài đặt , sau đó nhấp vào menu phụ Đối tượng .

Tại đây, bạn có thể chọn từ các tab để tìm các đối tượng mà bạn muốn chỉnh sửa, xem hoặc xóa:

Chỉnh sửa các đối tượng đã lưu

Trong ảnh chụp màn hình, ta đã chọn một hình ảnh trực quan trùng lặp. Nó có thể được chỉnh sửa, xem hoặc xóa bằng cách nhấp vào nút thích hợp.

Kết luận

Nếu bạn đã làm theo hướng dẫn này, bạn sẽ hiểu rõ về cách sử dụng Kibana 4. Bạn nên biết cách tìm kiếm thông báo log của bạn và tạo hình ảnh trực quan và trang tổng quan.

Hãy nhớ xem hướng dẫn tiếp theo trong loạt bài này, Cách lập bản đồ vị trí của user với GeoIP và ELK

Nếu bạn có câu hỏi hoặc góp ý, xin vui lòng để lại comment !


Tags:

Các tin liên quan