问题标签 [kibana]

我正在使用 logstash 来分析具有不同结构的多种类型的日志。下面的“prodlog”和“access_log”。

以下是我的logstash配置：

是否可以从内置 elasticsearch 的 Kibana GUI 创建多个仪表板，而不是将整个数据混合在同一个仪表板中？

理想情况下，可以从 kibana 主页使用自己的 URL 访问每个仪表板。

提前谢谢。

通过 kibana 查询弹性搜索按预期工作，但任何使用Add filter to match this value或Add filter to NOT match this value失败：

elasticsearch 抛出的异常是——

QueryParsingException[[logstash-2014.02.24] No query registered for [field]]

Kibana 的 config.js 指向我的 elasticsearch 服务器，nginx 转发包括端口 9200，并且 ES 可以从客户端访问（所有图都可以正常加载）。

elasticsearch: "https://es.cloudexample.com",

elasticsearch端的日志在这里。

我希望能够结合Kibana 术语图的功能（能够基于特定属性的值的唯一性创建存储桶）和直方图（根据查询将数据分离到存储桶中，然后根据时间说明日期） .

总的来说，我想创建一个直方图，但我只想根据一个查询的结果创建直方图，而不是像在Kibana 演示应用程序中那样进行多个查询。相反，我希望根据我的特定字段的唯一值动态创建每个存储桶。例如，考虑我的查询返回的以下数据：

还假设每条记录都有一个timestamp按日期分隔直方图数据的字段。对于那个特定的日期，我希望将数据作为 3 的计数传送到New York存储桶中，并将 2 的计数传送到San Francisco存储桶中。但是，我只能为我的一个链接查询显示 5 个计数。当我配置直方图时，我可以指定一个字段用于我的时间戳，但不能从中创建存储桶。我可以发送一个字段来计算总/最小值/最大值/平均值，但这个字段必须是数字，所以这也不是解决方案。

如果我要使用术语图来创建饼图或条形图，我确实能够根据我指定字段的唯一值（在本例中为“myValueType”）将我的数据分成存储桶，但这会加起来所有时间的数据，而不是按时间戳拆分数据。虽然这是很好的信息，但并不理想，因为我无法检测数据中的趋势。

我正在寻找可以执行以下操作之一的解决方案：

• 让我在我的 Kibana 仪表板中动态创建查询以在直方图中创建“桶”
• 允许我运行ElasticSearch 术语聚合，以根据“ myValueType ”将我的数据拆分为存储桶，并将这些结果整合到我的直方图中
• 自定义我的仪表板的 JSON，但这对我来说似乎不可能
• 创建我自己的自定义面板，但这是不可取的
• 在 Kibana 中链接 Kibana“TopN”查询。实际上，这已被证明是解决我的问题的方法，因为 TopN 查询从指定的 fieldName 为每个唯一值/术语动态创建一个查询。但是，问题是我只能将一种颜色链接到此 TopN 查询，并且每个唯一术语都将放置在使用不同颜色阴影的存储桶中。理想情况下，我的直方图中的每个桶都有与之相关的完全不同的颜色。想象一下，随着存储桶数量的增加，区分唯一术语将是多么困难。
• 如果一切都失败了，我会从我的搜索字段中对每个唯一值进行一次查询。这将允许我每个桶有一个唯一的颜色，但是随着“myValueType”字段中唯一术语的数量发生变化，我需要继续从 Kibana 添加/删除查询，这可能会变得非常混乱。

我确定我在这里缺少一些东西。请帮帮我。非常感谢。

一个高度相关的 SOF 问题：Is it possible to Use Histogram Facet or Its Curl Response in Kibana

I am working with kibana (elasticsearch dashboard) which allow to specify a date pattern to explain the index naming pattern.

For instance, default pattern is: [logstash-]YYYY-MM-DD.HH

I'd like to organize my index by block of hours, let's say by block of 4 hours. Indices would then be named logstash-2014-02-25.00, logstash-2014-02-25.04, logstash-2014-02-25.08, …</p>

Is there any way to get such format with momentjs ? I am dreaming of [logstash-]YYYY-MM-DD.{HH%4} but the documentation does not explain such thing (how weird).

我在 AWS EC2 环境中有 2 个 elasticsearch 节点，我想在单独的日志服务器上使用 logstash + kibana。Logstash 用作索引器，并且能够从 ES 节点获取日志（我仍在研究如何/我需要记录的内容）问题出在 Kibana 上。

我希望能够在 logstash 服务器上使用 Kibana 来监控我的 ES 节点上的日志。例如：ES节点：10.110.65.91/92 Logstash/kibana 10.110.65.93

我希望能够点击 [http://10.110.65.93/kibana-3.0.0milestone5/#/dashboard/file/default.json] 并加载 Kibana。现在它不使用 .93 加载；虽然它确实适用于 .91。.91 的 kibana 配置具有弹性搜索：“http://”+window.location.hostname+“:9200”，我知道不推荐使用它，但如果我将其更改为 IP，它不会加载。.93 的 Kibana 配置是 elasticsearch: "http://"+10.110.65.91+":9200",

安全组是开放的。

我错过了什么吗？

我正在发送json消息以logstash获取索引elasticsearch并设法在Kibana. 我想按消息字段过滤数据，但无法弄清楚如何或在哪里执行此操作。我的消息的一个例子：

现在它计算所有这些消息，但我需要让每条消息都按字段本身过滤，例如 like Idor langor query。这必须在配置文件中完成还是可以在Kibana界面中创建。

我正在尝试使用logstash解析iis日志文件并将它们发送到elasticsearch。

我有以下日志行

并使用此过滤器：

一切都被正确解析，但结果@timstamp 字段是我运行解析的时间，而不是日志事件的时间。这会导致所有日志事件在我查看它们时启动 logstash 时最终堆叠在一起。我希望 @timestamp 成为实际事件的时间。

我究竟做错了什么？

我知道已保存的Kibana仪表板（即仪表板的 JSON 文件）保存在或关联到特定的ElasticSearch实例。如果我在连接到托管 ElasticSearch 的服务器时保存我的 Kibana 实例，并且我要将我的 ElasticSearch 服务器切换到另一个地址，我会丢失我保存的仪表板。但是，如果我要切换回原始服务器地址，我将恢复保存的仪表板。

因此，我的问题是在elasticsearch安装目录中保存仪表板的确切位置。我宁愿能够运行一个脚本来自动加载我预先创建的 Kibana 仪表板，而不是每次启动一个新的 ElasticSearch 实例时都被迫通过 Web 控制台复制/粘贴 JSON。

感谢您的帮助。

更新

根据这篇Google Groups 帖子，仪表板保存在kibana-int_index 中，其中 _typedashboard和 _id 是我命名的 . 那么，要将我的仪表板保存到新的 ElasticSearch 实例中，我是否只需要通过 CURL 将 PUT 执行到这个 _index 中？有一个更好的方法吗？

我将 HTTP 日志发送到 Kibana，并且响应代码（200、401、500 等）被正确解析为字段。我想要一个时间序列图表，其中每个代码的计数显示为在每个间隔中以不同颜色堆叠在一起的条形图。例如，这应该有助于查看是否突然出现更多 500 个错误。

我很难弄清楚如何在 Kibana 中创建这样的图表。这可能吗？

我们一直在使用 Kibana/ElasticSearch 来分析我们的日志，我正在尝试理解仪表板的定义。当我导出仪表板并检查生成的文件时，我可以看到它是 json。因此，我可以手动操作它，我发现有帮助的一件事是为我的过滤器添加自定义属性以进行评论。例如

这让我可以看到 Kibana 中的评论。使用 json，我已经能够学习一些更有用的技巧，但我更愿意去“源”（又名文档）假设存在这样的东西来加快我的理解。我希望更好地了解的一个特定功能是如何在我的过滤器中使用正则表达式。这样的“来源”是否存在，如果存在，有人可以指导我吗？