Kibana4
v4.0.3

kibana4の使い方

More than 1 year has passed since last update.

2016年3月末現在、AWS ElasticsearchServiceで提供されているkibana(4.0.3)の大まかな使い方をまとめます。

簡単な手順は、
1. Settingsでインデックスの作成
2. Discoverで各インデックスのビューの作成
3. Dashboardで複数のログを見るためのまとまりを作る
となる

◆Settingsでインデックスの作成

Elasticsearchに貯められているログのインデックスを作成する場所。
基本的に"logstash-*"形式でkibanaに渡ってくるので、インデックスの形は"log-2016.03.31"や"log_log-2016.04.01"のように

tag名+ハイフン+日付

という形になっている。
kibanaでログを見るためには、Settingsタブで必要なインデックスを作成する必要がある。

例えば、ElasticsearchServiceコンソールのindicesタブにできているログが"test-2016.03.31"の場合、Settingsでは"test-*"というインデックスを作成すれば良い
このとき、"Index contains time-based events"のチェックをはずすとCREATEボタンが緑色になる。

◆Discoverで各インデックスのビューの作成

各index内の全てのログを見たり、フィルタリングしたSearches(ビュー)を作成したりする。

右上の各メニューの説明

  • New Search:新しいビューを作る(Settingsタブで★印のついた項目の初期の表示にしてくれる)
  • Save Search:フィルタリングしたビューの保存を行う(Dashboardで確認できるようになる)
  • Load Saved Search:すでに作成済みのフィルタリングしたビューの読み込み
  • Settings:見たいindexをここで選択できる

左のリストから自分が見たい項目だけをaddしてくることで、必要な情報の揃ったSearches(ビュー)を作成できる。
のちのち、このSearchesを複数組み合わせて、Dashboardを作成することになる。

◆Dashboardで複数のログをまとめて見る

Discoverで作成されたSearchesを一つのDashboardで閲覧する機能を提供する。

右上の各メニューの説明

  • New Dashboard:新しいDashboardを作る。ボタン押下で↓まっさらな画面を用意してくれる
  • Save Dashboard:作成したDasnboardの保存を行う
  • Load Saved Dashboard:すでに作成済みのDashboardを読み込む
  • Share:第三者に作成されたDashboardを共有するためのリンクが表示される
  • Add Visualization:Dashboard作成時に、SearchesとVisualizationsを検索して、追加できる

Dashboardの作成手順

  1. Add Visualizationボタン選択後、Searchesタブに移り、Searchesの名前を検索すると表示される
  2. Dashboardには複数のSearchesを保存可能
  3. 見たいSearchesの揃ったDashboardが完成したら、Save Dashboardで名前をつけて保存する

データのフィルタリング方法

DiscoverやDashboardで検索窓があるが、そこでログを絞り込むことができる。
→lucene queryを使う

基本の構文:【項目名(列の名前)】:【探したい単語】
    例:message_level:ERROR  (rdsのログでERRORのものだけを表示したいとき)

複数条件検索:【項目名(列の名前)】:【探したい単語】AND【項目名(列の名前)】:【探したい単語】/ 【項目名(列の名前)】:【探したい単語】OR【項目名(列の名前)】:【探したい単語】