« 管理 字段管理 »
Elastic Docs Kibana 用户手册 管理

索引模式

edit

索引模式

edit

要使用Kibana,您需要通过配置一个或多个索引模式来告诉它您想探索的 Elasticsearch 索引。您也可以:

  • 通过对您数据的实时计算创建脚本化字段,您可以浏览和可视化脚本化字段,但是不能搜索它们。
  • 设置高级选项,例如要在表格中显示的行数以及要显示多少个最受关注的字段。修改高级选项时需要格外注意,避免设置彼此不兼容的值。
  • 为生产环境配置 Kibana。

创建一个索引模式连接 Elasticsearch

edit

一个 索引模式 标识一个或者多个您想要通过 kiabna 探索的 Elasticsearch 索引。Kibana 会查找与指定模式匹配的索引名称。模式中的星号 (*) 匹配0个或者多个字符。例如,模式 myindex-* 匹配所有名称中以 myindex- 开头的索引,如 myindex-1myindex-2

一个索引模式也可以简单地作为单个索引的名称。

要创建一个连接到 Elasticsearch 的索引模式:

  1. 点击 设置 > 索引 标签页。

  2. 指定与一个或多个 Elasticsearch 索引名称匹配的索引模式。默认情况下,Kibana 会认为您正在处理通过 Logstash 送到 Elasticsearch 的日志数据。

    当您在顶层标签页中切换时,Kibana 会记住您在每个标签页中的位置。例如,如果您在设置标签页中查看了一个特定的索引模式,然后切换到探索标签页,接着再回到设置标签页,Kibana 会显示您刚才看过的那个索引模式。想创建新的索引模式,点击索引模式列表上的 添加 按钮。

  3. 如果您的索引中含有一个时间戳字段,并且您想将这个字段用于执行基于时间比较的操作,请选择 索引含有带时间戳的事件 选项,Kibana 会读取索引映射并列出包含时间戳的所有字段,从中选择您需要的字段即可。
  4. 默认情况下,Kibana 会限制基于时间的索引模式的通配符扩展,范围为当前选定时间内的索引数据。点击 当搜索时不要展开索引模式 选项来禁用此行为。
  5. 点击 创建 添加新的索引模式。
  6. 要指定新模式作为查看探索标签页时加载的默认模式,请单击 收藏 按钮。

当您定义一个索引模式时,Elasticsearch 中必须存在匹配该模式的索引,并且这些索引必须包含数据。

要在索引名称中使用事件时间,需要使用下表中指定的日期格式语汇单元,并将其作为为静态文本放在模式名称中。

例如,[logstash-]YYYY.MM.DD 匹配所有前缀是 logstash- 并且后接 YYYY.MM.DD 这种时间戳格式的索引,如 logstash-2015.01.31logstash-2015-02-01

Table 2. 日期格式语汇单元

M

Month - cardinal: 1 2 3 …​ 12

Mo

Month - ordinal: 1st 2nd 3rd …​ 12th

MM

Month - two digit: 01 02 03 …​ 12

MMM

Month - abbreviation: Jan Feb Mar …​ Dec

MMMM

Month - full: January February March …​ December

Q

Quarter: 1 2 3 4

D

Day of Month - cardinal: 1 2 3 …​ 31

Do

Day of Month - ordinal: 1st 2nd 3rd …​ 31st

DD

Day of Month - two digit: 01 02 03 …​ 31

DDD

Day of Year - cardinal: 1 2 3 …​ 365

DDDo

Day of Year - ordinal: 1st 2nd 3rd …​ 365th

DDDD

Day of Year - three digit: 001 002 …​ 364 365

d

Day of Week - cardinal: 0 1 3 …​ 6

do

Day of Week - ordinal: 0th 1st 2nd …​ 6th

dd

Day of Week - 2-letter abbreviation: Su Mo Tu …​ Sa

ddd

Day of Week - 3-letter abbreviation: Sun Mon Tue …​ Sat

dddd

Day of Week - full: Sunday Monday Tuesday …​ Saturday

e

Day of Week (locale): 0 1 2 …​ 6

E

Day of Week (ISO): 1 2 3 …​ 7

w

Week of Year - cardinal (locale): 1 2 3 …​ 53

wo

Week of Year - ordinal (locale): 1st 2nd 3rd …​ 53rd

ww

Week of Year - 2-digit (locale): 01 02 03 …​ 53

W

Week of Year - cardinal (ISO): 1 2 3 …​ 53

Wo

Week of Year - ordinal (ISO): 1st 2nd 3rd …​ 53rd

WW

Week of Year - two-digit (ISO): 01 02 03 …​ 53

YY

Year - two digit: 70 71 72 …​ 30

YYYY

Year - four digit: 1970 1971 1972 …​ 2030

gg

Week Year - two digit (locale): 70 71 72 …​ 30

gggg

Week Year - four digit (locale): 1970 1971 1972 …​ 2030

GG

Week Year - two digit (ISO): 70 71 72 …​ 30

GGGG

Week Year - four digit (ISO): 1970 1971 1972 …​ 2030

A

AM/PM: AM PM

a

am/pm: am pm

H

Hour: 0 1 2 …​ 23

HH

Hour - two digit: 00 01 02 …​ 23

h

Hour - 12-hour clock: 1 2 3 …​ 12

hh

Hour - 12-hour clock, 2 digit: 01 02 03 …​ 12

m

Minute: 0 1 2 …​ 59

mm

Minute - two-digit: 00 01 02 …​ 59

s

Second: 0 1 2 …​ 59

ss

Second - two-digit: 00 01 02 …​ 59

S

Fractional Second - 10ths: 0 1 2 …​ 9

SS

Fractional Second - 100ths: 0 1 …​ 98 99

SSS

Fractional Seconds - 1000ths: 0 1 …​ 998 999

Z

Timezone - zero UTC offset (hh:mm format): -07:00 -06:00 -05:00 .. +07:00

ZZ

Timezone - zero UTC offset (hhmm format): -0700 -0600 -0500 …​ +0700

X

Unix Timestamp: 1360013296

x

Unix Millisecond Timestamp: 1360013296123

设置默认的索引模式

edit

当您查看 探索 标签页时,默认索引模式将会自动加载。在 设置 > 索引 标签页的索引模式列表中,Kibana 会在默认模式名称的左侧显示一颗星。您创建的第一个模式将会被自动指定为默认模式。

设置其他模式作为默认索引模式:

  1. 点击 设置 > 索引 标签页。
  2. 在索引模式列表中选择您想要默认加载的模式。
  3. 点击模式的 收藏 按钮。

您也可以在 高级 > 设置 中手动设定默认索引模式。

重新加载索引字段列表

edit

当您新增了一个索引映射,Kibana 会自动扫描匹配模式的索引,并显示索引字段的清单。您可以重新载入索引字段列表以便能选择新增的字段。

重载索引字段列表会导致 Kibana 的字段流行度计数器重置。流行度计数器是用来跟踪您在 Kibana 中经常使用的字段,并被用于对列表中的字段进行排序。

要重新加载索引字段列表:

  1. 点击 设置 > 索引 标签页。
  2. 从索引模式列表中选择一个索引模式。
  3. 点击该模式的 重载 按钮。

删除索引模式

edit

要删除一个索引模式:

  1. 点击 设置 > 索引 标签页。
  2. 从索引模式列表中选择您想要删除的索引模式。
  3. 点击该模式的 删除 按钮。
  4. 确认您想要删除该模式。
« 管理 字段管理 »