kibana安装与基础用法

来自官网，版本为4.5

下载rpm包并安装

wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpm
rpm -ivh kibana-4.5.4-1.x86_64.rpm

配置文件位于/opt/kibana/config/

日志文件位于/var/log/kibana/

默认连接的是本机elasticsearch，可在配置文件中修改，这里不用修改，直接启动

/etc/init.d/kibana start

默认占用5601端口，可通过http://[ip]:5601在浏览器访问

初次进入需要至少创建一个索引模板，这个是对应elasticsearch中的索引；

默认给的是logstash-*，配置学习logstash时的测试数据直接在这里使用，所以直接点击页面的create按钮即可

创建好索引模板后，在Discover，左边选择所以logstash-*，右上角选择时间，就可以看到日志了，左边可以选择要显示的列

在Discover中上方的搜索框中输入查询公式进行查询，基本语法有：

直接在搜索框输入关键字，所有字段只要包括就会被匹配，比如输入一串手机号码；

如果是短语则需要用双引号，中文的话因为它不会分词，两个及以上中文都算短语：

"hello world"
"中文"

可以用冒号指定某个字段包含某些关键字，field:value，当然短语还是需要用引号：

level:ERROR
level:"错误"

非、与、或：

NOT level:ERROR
source:"logstash.log" AND level:ERROR
level:WARN OR level:ERROR

组合用小括号：

(source:"logstash.log" OR source:"filebeat.log") AND level:ERROR

必须包含、不可包含：

+ 必须包含
- 不可包含
source:(+"logstash.log" -"2016-12-15") #必须来自logstash，但不要12-15的

数字的范围（count类型必须是数字）：

count:[1 TO 2] #1 ~ 2

通配符，跟常用的一致：

? 匹配单个字符
* 匹配0到多个字符

over

Normal
0

7.8 磅
0
2

false
false
false

EN-US
ZH-CN
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:普通表格;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman",serif;}