##概述#

這是這個小系列的最後一篇了，我們將看到如何安裝kibana，以及對ELK中的日誌資訊進行快速查詢。

##kibana安裝#
1.到官網下載kibana；
2.解壓縮；
3.修改配置檔案kibana-5.3.0-darwin-x86_64/config/kibana.yml
開啟：

elasticsearch.url: "http://localhost:9200"

這是連結es的http地址，kibana自身伺服器預設的埠是5601.
4.控制檯中執行./kibana，執行成功會看到如下資訊：

##檢視日誌內容#
首次訪問的時候，需要新增一個index pattern，用來告訴kibana我們需要從es裡面搜尋哪些型別的索引。

裡面的index name or pattern不用改，因為logstash預設在es裡建立的索引就是logstash-*格式命名的。

Time-field name選擇 @timestamp，然後點選建立。然後就會看到kibana把es裡面對應索引的所有欄位資訊都獲取過來了：

##時間過濾器使用#
要檢索資料，我們需要進入到Discover標籤頁面，先來熟悉時間過濾器，在頁面的右上角，點選一下就可以展開選擇區了。用來選擇一個時間範圍內的資料。

這裡提供了三種設定方式：
1.快速的：可以快速的選擇一個到當前時間為止N天，N月，N年的時間段；
2.相對於現在的時間：可以更加細緻的設定第一種方式中的N值；
3.時間範圍：可以明確指定開始時間和結束時間。

選中一個時間段後，可以看到搜尋的結果分佈和前500個結果的結果列表，以及左側的欄位列表、欄位值top5.

##新增快速顯示欄位#
在左側的欄位列表中，滑鼠滑動到某一個欄位，欄位右側會出現一個add按鈕，就是用來新增快速顯示欄位的。

快速顯示欄位是哪裡呢，就是頁面右側的日誌資訊列表，因為日誌資訊包含的欄位很多，預設只顯示了time和_source兩個欄位，如果我們想快速顯示path欄位怎麼辦？就需要用到新增快速顯示欄位的功能了。

##關鍵字包含匹配#
有時候我們會看到日誌中有很多介面的訪問日誌，如果我想看某一個特定介面的訪問日誌怎麼辦呢？

仍然需要在左側的欄位列表裡操作，首先點選某個欄位，比如來源於哪個日誌檔案（path），會看到列出的top5介面，而且每個介面旁邊有一個放大鏡和放小鏡。放大鏡就是用來增加包含匹配的，點選之後僅顯示該欄位值的日誌。

##關鍵字不包含匹配#
欄位列表處的放小鏡就是用來設定不包含某個值了，比如我們只能看到top5，但是前幾項我不關心，那麼我們就可以把他排除掉，讓更多的日誌在top5能被看到，就需要這個功能了。

備註：大家可能很多接觸es的人或者mongodb的讓你都記得前段時間的比特幣勒索，很多es和mongodb由於沒有設定密碼，庫中的資料都被刪除了。遺憾的是我們外網的一個es也被清洗了。所以如果自己的ELK是公網可以訪問的那麼最好給es設定一個使用者名稱密碼，讓資料更安全一些。

~~~~~~~~~~~~~~~~~~~~~~~~~ 福利分割線~~~~~~~~~~~~~~~~~~~~~~~~~~~
-長期內推-：頭條、快手、美團、阿里、陌陌、噹噹。有需要的朋友可以發郵件到我的郵箱[email protected]。