2016年3月末現在、AWS ElasticsearchServiceで提供されているkibana(4.0.3)の大まかな使い方をまとめます。
簡単な手順は、
1. Settingsでインデックスの作成
2. Discoverで各インデックスのビューの作成
3. Dashboardで複数のログを見るためのまとまりを作る
となる
◆Settingsでインデックスの作成
Elasticsearchに貯められているログのインデックスを作成する場所。
基本的に"logstash-*"形式でkibanaに渡ってくるので、インデックスの形は"log-2016.03.31"や"log_log-2016.04.01"のように
tag名+ハイフン+日付
という形になっている。
kibanaでログを見るためには、Settingsタブで必要なインデックスを作成する必要がある。
例えば、ElasticsearchServiceコンソールのindicesタブにできているログが"test-2016.03.31"の場合、Settingsでは"test-*"というインデックスを作成すれば良い
このとき、"Index contains time-based events"のチェックをはずすとCREATEボタンが緑色になる。
◆Discoverで各インデックスのビューの作成
各index内の全てのログを見たり、フィルタリングしたSearches(ビュー)を作成したりする。
右上の各メニューの説明
- New Search:新しいビューを作る(Settingsタブで★印のついた項目の初期の表示にしてくれる)
- Save Search:フィルタリングしたビューの保存を行う(Dashboardで確認できるようになる)
- Load Saved Search:すでに作成済みのフィルタリングしたビューの読み込み
- Settings:見たいindexをここで選択できる
左のリストから自分が見たい項目だけをaddしてくることで、必要な情報の揃ったSearches(ビュー)を作成できる。
のちのち、このSearchesを複数組み合わせて、Dashboardを作成することになる。
◆Dashboardで複数のログをまとめて見る
Discoverで作成されたSearchesを一つのDashboardで閲覧する機能を提供する。
右上の各メニューの説明
- New Dashboard:新しいDashboardを作る。ボタン押下で↓まっさらな画面を用意してくれる
- Save Dashboard:作成したDasnboardの保存を行う
- Load Saved Dashboard:すでに作成済みのDashboardを読み込む
- Share:第三者に作成されたDashboardを共有するためのリンクが表示される
- Add Visualization:Dashboard作成時に、SearchesとVisualizationsを検索して、追加できる
Dashboardの作成手順
- Add Visualizationボタン選択後、Searchesタブに移り、Searchesの名前を検索すると表示される
- Dashboardには複数のSearchesを保存可能
- 見たいSearchesの揃ったDashboardが完成したら、Save Dashboardで名前をつけて保存する
データのフィルタリング方法
DiscoverやDashboardで検索窓があるが、そこでログを絞り込むことができる。
→lucene queryを使う
基本の構文:【項目名(列の名前)】:【探したい単語】
例:message_level:ERROR (rdsのログでERRORのものだけを表示したいとき)
複数条件検索:【項目名(列の名前)】:【探したい単語】AND【項目名(列の名前)】:【探したい単語】/ 【項目名(列の名前)】:【探したい単語】OR【項目名(列の名前)】:【探したい単語】