问题标签 [kibana-6]

目标：我想创建一个仪表板，显示用户对我的网站的请求。为此，我在我的 java web 应用程序中创建了一个过滤器，并开始捕获用户请求并将它们存储在 ES 索引中。文件格式如下：

所以，现在我有一个索引，其中包含有关用户请求哪些 URL 的次数的信息。现在，我想创建可视化来显示每个用户的使用趋势。

问题：

1. 此用例应使用哪些可视化？

2. 如果我需要显示用户趋势随时间的变化，我应该如何保存数据？例如，是否有一个我可以显示的可视化，用户已经停止/减少了请求页面并且现在更频繁地访问不同的页面。任何方向都会有所帮助。注意：我明白，这可以用grafana + prometheus来完成，但我希望用弹性堆栈来做到这一点。

我在 Ubuntu 16.xx（AWS EC2 实例）上设置了我的 ELK 服务器。1 - 我需要监控我的 AWS 服务（SNS、SQS、SES、Lambda、Ec2、S3 ELB CloudWatch .. 等） 2 - 如何从我的 aws 服务获取实时日志并发布到我的 Kibana 仪表板（是否有任何插件/节拍/集成 API）。是否有社区节拍可以帮助我将日志从 AWS 获取到 ELK。

https://www.elastic.co/guide/en/beats/libbeat/current/community-beats.html

谢谢

我正在使用elasticsearch + kibana + logstash + filebeat最新的 6.4.1 来收集和分析网络日志。我的日志列如下：

timestamp, http_method, request_uri, http_status, host, user_agent, client_ip, client_port

我已将 ELK 配置为在 Kibana 中显示我的日志。但现在我想查看我的会话日志。我希望日志行可以按会话分组并显示在 Kibana 的Discover页面中。在我的场景中，相同的日志行(host, client_ip)属于同一个会话。

我希望带有会话/分组 UI 的 Discover 可以显示所有会话。当我单击它时，我仍然可以看到一个会话中的日志行。

有可能做到吗？或者最好的方法是什么？谢谢。

我正在使用elasticsearch + kibana + logstash + filebeat最新的 6.4.1 来收集和分析网络日志。我的日志列如下：

timestamp, http_method, request_uri, http_status, host, user_agent, client_ip, client_port

我已将 ELK 配置为在 Kibana 中显示我的日志。但现在我想查看我的会话日志。我希望日志行可以按会话分组并显示在 Kibana 的Discover页面中。在我的场景中，相同的日志行(host, client_ip)属于同一个会话。

我希望有这个：

1. 会话表

   名称、client_ip、主机

   session1，www.google.com，1.2.3.4

   session2, www.bing.com, 5.6.7.8

   session3, www.google.com, 4.3.2.1

当我单击上述会话之一（例如 session1）时，我可以在下面的第二个表中看到该会话的所有记录：

2. 日志表

   时间戳、http_method、request_uri、http_status、host、user_agent、client_ip、client_port

   20181105, 21:33:17.773, POST, /index.html, 200, www.google.com, chrome 59, 1.2.3.4, 1234

   20181105, 21:33:18.773, POST, /abc.html, 200, www.google.com, chrome 59, 1.2.3.4, 1234

   20181105, 21:33:19.773, POST, /index.html, 404, www.google.com, chrome 59, 1.2.3.4, 5678

我知道 Elasticsearch 做平面索引，文档之间有层次结构并不容易。我可以为上述两个表创建单独的索引。我知道 Dashboard 可以同时显示两个 Discover 表。但我的问题是：

如何链接这两个表？当我点击Session表中的一项时，Log表会显示相应的内容？

或者有没有其他方法可以满足我的要求（在 Kibana 中轻松查看基于会话的日志）？谢谢。

更新

Log 表的索引包含会话字段，可以是session1、session2等。这两个索引都在我的控制之下。因此，如果需要，我可以添加任何字段。

有没有可能在 timelion 中多次拆分？

目前我使用这样的表达式：

产生时间序列图。

如果我想添加第二个应用程序，我只需在 es 查询中添加另一个带有附加 AND 的表达式，然后像这样拆分：

难道不能在一个表达式中做到这一点吗？

我正在使用 ELK 进行监控。几天前它工作正常，突然停止工作。

请帮我解决问题。

错误日志：

java.lang.IllegalArgumentException：插件 [ingest-geoip] 是为 Elasticsearch 6.2.4 版构建的，但 6.5.0 版在 org.elasticsearch.plugins.PluginsService.verifyCompatibility(PluginsService.java:339) ~[elasticsearch-6.5. 0.jar:6.5.0] 在 org.elasticsearch.plugins.PluginsService.loadBundle(PluginsService.java:524) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.plugins.PluginsService.loadBundles( PluginsService.java:464) ~[elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.plugins.PluginsService.(PluginsService.java:156) ~[elasticsearch-6.5.0.jar:6.5.0]在 org.elasticsearch.node.Node.(Node.java:338) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.node.Node.(Node.java:265) ~[elasticsearch- 6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap。Bootstrap$5.(Bootstrap.java:212) ~[elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.bootstrap.Bootstrap.setup(Bootstrap.java:212) ~[elasticsearch-6.5.0.jar :6.5.0] 在 org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:333) [elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java: 136) [elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:127) [elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch。 cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86) [elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124) [elasticsearch-cli-6.5.0 .jar:6.5.0] 在 org.elasticsearch.cli.Command.main(Command.java:90) [elasticsearch-cli-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93) [elasticsearch-6.5.0.jar:6.5.0] 在 org. elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:86) [elasticsearch-6.5.0.jar:6.5.0] [2018-11-15T23:33:31,908][WARN][oebElasticsearchUncaughtExceptionHandler] [97v4l7O] 未捕获的异常线程 [main] org.elasticsearch.bootstrap.StartupException: java.lang.IllegalArgumentException: Plugin [ingest-geoip] 是为 Elasticsearch 6.2.4 版本构建的，但 6.5.0 版本在 org.elasticsearch.bootstrap.Elasticsearch.init( Elasticsearch.java:140) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:127) ~[elasticsearch-6.5.0.jar:6.5.0 ] 在 org.elasticsearch.cli。EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86) ~[elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124) ~[elasticsearch-cli-6.5.0 .jar:6.5.0] 在 org.elasticsearch.cli.Command.main(Command.java:90) ~[elasticsearch-cli-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.main (Elasticsearch.java:93) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:86) ~[elasticsearch-6.5.0.jar:6.5. 0] 原因：java.lang.IllegalArgumentException：插件 [ingest-geoip] 是为 Elasticsearch 6.2.4 版构建的，但 6.5.0 版在 org.elasticsearch.plugins.PluginsService.verifyCompatibility(PluginsService.java:339) 上运行~ [elasticsearch-6.5.0.jar:6.5.0] 在 org。elasticsearch.plugins.PluginsService.loadBundle(PluginsService.java:524) ~[elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.plugins.PluginsService.loadBundles(PluginsService.java:464) ~[elasticsearch-6.5 .0.jar:6.5.0] 在 org.elasticsearch.plugins.PluginsService.(PluginsService.java:156) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.node.Node.(Node .java:338) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.node.Node.(Node.java:265) ~[elasticsearch-6.5.0.jar:6.5.0] 在org.elasticsearch.bootstrap.Bootstrap$5.(Bootstrap.java:212) ~[elasticsearch-6.5.0.jar:6.5.0] at org.elasticsearch.bootstrap.Bootstrap.setup(Bootstrap.java:212) ~[elasticsearch -6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:333) ~[elasticsearch-6.5.0.jar:6.5.0] 在 org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:136) ~[elasticsearch-6.5.0.jar:6.5.0] ... 6 更多

我想创建一个脚本字段来检查嵌套字段的两个属性。

我有一个 ES 索引，其中包含有关进程的信息。一个进程被配置为一个嵌套对象。每个文档可以有多个进程。也可以有多个相同类型的进程（相同的processDefinitionKey）。

这就是目前流程的结构：

现在我对特定类型的所有活动过程感兴趣。所以他们必须有一个特定的processDefinitionKey并且还不能有一个ended属性。我为它写了一个 ES 查询：

我已将此查询添加为可在 Kibana 仪表板上使用的过滤器。我认为它应该起作用。

但是，我更愿意通过为其创建脚本字段来将此属性“具有此类活动进程”添加为搜索表中的一列。这是我到目前为止提出的脚本字段（在无痛中）：

但是这里的结果与上面的查询不一致。恐怕这个脚本会检查是否存在正确的processDefinitionKey进程和没有属性的进程。ended但它不会检查两个属性对于同一进程是否为真。

如何确保脚本化字段同时检查同一进程processDefinitionKey的属性和属性？ended

我使用 Kibana 6.4.2

编辑：

脚本字段应返回的文档示例true（service_agreement 进程尚未结束，其他进程已结束）：

脚本字段应返回的文档示例false：

我也是 Kibana 和 Elasticsearch 的新手，想使用一些 API 来调查它们之间的联系。但是在测试时遇到了一些错误。

例如：当我运行/api/saved_objects/_find?type=index-pattern它时它工作了，但有些 API 没有。它响应“未找到”并且不像文档，例如 GET api/saved_objects/index-pattern/my-pattern。return { "statusCode": 404, "error": "Not Found", "message": "Not Found" } 所以我的问题是如何显示 Kiabana 的应用程序的所有可用路线，如 Railsrake routes

P/s：目前我想自定义 Kibana 应用程序的核心插件，但是很难找到有关此的文档或文章。官方文档中的信息对我来说还不够。如果您知道任何资源，请与我分享。谢谢你。

我在 elasticsearch 中有我的数据，我想使用线图绘制它们。目前在 y 轴我有计数的累积总和，x 轴是日期直方图的聚合与每周间隔。

我在 y 轴上真正想要的是：（所有点的一些计数）-（计数的累积和）

我怎样才能使用 Kibana 做到这一点？

我是 Kibana 的新手，想调试后端以调查后续数据工作。

所以我添加NODE_OPTION="--inspect"了启动命令并使用 chrome 开发工具来观看，console.log然后将一些debugger内容放入后端文件中。但是当它启动时，DevTools 控制台什么也没有显示。

启动时 CLI 中的信息：

附上调试器。

监视更改（1516 个文件）

侦听 ws://127.0.0.1:9230/cba617e6-7963-435d-be45-817dada4fd64 的调试器

[info][listening] basePath 代理运行在http://192.168.1.93:5609/oze

我要调试的文件： src/server/index_patterns/service/lib/field_capabilities/field_capabilities.js

所以任何人都可以告诉我我在设置中做错了什么/错过了什么？以及如何从后端文件控制台记录此类信息。谢谢你。