elk查询语句_kibana查询es基本语法

Kibana7.x基本的操作

Kibana

Kibana是一个Web应用程序，你可以通过5601来访问它。
7.x的版本已经是极简风格了，左侧的菜单栏也都是极简的图标风格，但是主要的功能如下：
Kibana可视化管理页面详细使用说明
使用浏览器访问例如：localhost:5601 默认端口，进入首页
Discover：日志管理视图 主要进行搜索和查询
Visualize：统计视图 构建可视化的图表
Dashboard：仪表视图 将构建的图表组合形成图表盘
Timelion：时间轴视图 随着时间流逝的数据
APM：性能管理视图 应用程序的性能管理系统
Canvas：大屏展示图
Dev Tools： 开发者命令视图 开发工具
Monitoring：健康视图 请求访问性能预警
Management：管理视图 管理工具

其中最主要也是最常用到的是前三个以及最后一个管理角色和用户包括创建索引，其它的下面也都有介绍：

Kibana对ES基本的操作

连接ES基本配置如下

server.port: 5601 server.host: "localhost" elasticsearch.hosts: ["http://localhost:9200"] kibana.index: ".kibana" 

启动ES和kibna
打开kibana页面，点击左侧的开发工具可以看到Console命令行直接可以执行ES的REST风格API，右侧是查询的返回结果

利用该工具可以复习下基本的ES操作API，常见查询方法如下

GET /_cat/nodes?v # 查询所有索引 GET /_cat/indices?v GET /_cat/indices?v&h=health,status,index # 创建索引 PUT /bamboo # 删除索引 DELETE /bamboo # 创建索引对应的mapping和setting PUT /bamboo { "mappings": { "properties": { "title": { "type": "text" }, "name": { "type": "text" }, "age": { "type": "integer" }, "created": { "type": "date", "format": "strict_date_optional_time||epoch_millis" } } }, "settings":{ "index":{ "number_of_shards": 5, "number_of_replicas": 1 } } } #获取当前索引的setting信息 GET /bamboo/_settings GET /bamboo/_mapping # 获取所有的索引mapping信息 GET _all/_mapping #添加一条数据 PUT /bamboo/_doc/1 { "name":"zs", "title":"张三", "age":18, "created":"2018-12-25" } # 修改一条数据的某个属性值 PUT /bamboo/_doc/1 { "name":"lxs", "title":"李小四" } GET /bamboo/_doc/100 DELETE /bamboo/_doc/1 # 批量插入多个document,_id不指定则系统生成字符串 POST /bamboo/_doc/_bulk {"index":{"_id":2}} {"name":"ww","title":"王五","age":18,"created":"2018-12-27"} {"index":{}} {"name":"zl","title":"赵六","age":25,"created":"2018-12-27"} # 批量操作（包含修改和删除） POST /bamboo/_doc/_bulk {"update":{"_id":"1"}} {"doc":{"title":"王小五"}} {"delete":{"_id":"2"}} #只获取字段name,age GET /bamboo/_doc/1?_source=name,age # 聚集查询 id为1,2的数据 GET /bamboo/_doc/_mget { "docs":[ { "_id": 2 }, { "_id": 1 } ] } GET /bamboo/_doc/_search {"query":{"bool":{"must":[{"match_all":{}}],"must_not":[],"should":[]}},"from":0,"size":10,"sort":[],"aggs":{}} 

GET /_cat/allocation GET /_cat/shards GET /_cat/shards/winlogbeat-7.7.0 GET /_cat/master GET /_cat/templates GET /_cat/nodes GET /_cat/segments GET /_cat/count GET /_cat/recovery GET /_cat/health GET /_cat/pending_tasks GET /_cat/aliases GET /_cat/thread_pool GET /_cat/plugins GET /_cat/fielddata GET /_cat/nodeattrs GET /_cat/repositories GET /_cat/indices

discover使用

添加新的日志采集项，点击Management-> Index Patterns，比如添加nginx系统日志。注意后面的不要忘了。
这里创建nginx并且设置的是@timestamp为索引匹配，后面的数据会根据这个时间戳查询

删除kibana里的日志采集项，点击该patern进入后->点击删除图标即可。
默认情况下，kibana需要设置一个默认索引
设置默认索引，点击五角星图标即可，这样在其他模块中会自动根据默认索引显示出需要的界面，否则空索引是没有界面使用的。

点击discover，则会显示默认索引的工资空间，显示的数据默认是15分钟，你可以自己调整时间段后refresh刷新查询到你想要的数据。如果你选择的索引模式配置了time字段，则文档随时间的分布将显示在页面顶部的直方图中。

默认情况下，右下角的列表会显示所有字段，在左侧的Available fields下方的字段选中add添加则只显示你所选中的字段到列表中。

参考资料

Kibana（一张图片胜过千万行日志）
Kibana（一张图片胜过千万行日志） - 废物大师兄 - 博客园
ESstack视频讲解
http://www.elastictech.cn/videos

推荐阅读：

kibana 基础操作_云计算-Security的博客-CSDN博客_kibana操作