1.10 Elasticsearch-Kibana Discover & Dev Tools 速成

原创 于 2025-11-01 10:44:10 发布 · 777 阅读 · 12 ·
CC 4.0 BY-SA版权
CC BY-NC-SA 3.0
文章标签:

#elasticsearch #大数据 #搜索引擎

在这里插入图片描述

1.10 Elasticsearch-Kibana Discover & Dev Tools 速成

目标:30 min 内掌握 Kibana 最常用的两块主屏——Discover(探查)与 Dev Tools(控制台),能把日志搜出来、能把命令跑下去,并能把结果搬得上 PPT。

1. 课前准备:把“枪”上膛

  1. 一套能用的 ES + Kibana(8.x 最佳,7.x 亦可)。
  2. 至少有一个已写入数据的索引(后文用 nginx-2025.11.01 举例,字段含 @timestampremote_iprequeststatus)。
  3. 浏览器 + 1920×1080 分辨率(省得面板挤成“千层饼”)。

2. Discover:把日志当 Google 搜

Kibana → 左侧汉堡菜单 → Discover

2.1 选索引模式(Index Pattern)

首次进入会提示创建索引模式。输入 nginx-* → 时间字段选 @timestampCreate → 完成。

技巧:用通配符一次性把 nginx-2025.11.01nginx-2025.10.31 都罩住,省得每天新建。

2.2 时间控件:先锁范围再谈性能

右上角时间选择器默认是 Last 15 minutes。生产环境日志若按天滚动,直接点 Relative → Last 24 hours;排障时再切到 Absolute 并输入精确起止。
快捷键:

  • t → 弹出时间控件
  • shift + → / → 时间平移

2.3 搜索栏:KQL 三板斧

Kibana Query Language(KQL)比 Lucene 语法更“人话”:

需求写法
查 404status:404
查 4xx 且来源北京status:[400 TO 499] AND geoip.city_name:"Beijing"
查 request 里带 /api/user/*request:/\/api\/user\/.*/

注意:KQL 默认区分字段类型,字符串别丢引号,数字别加引号。

2.4 过滤桶(Filter Pills)与时间直方图

  • 点击搜索结果左侧 “+” 即可把该值加为过滤条件,支持 is、is not、exists、range 四件套。
  • 直方图拖动鼠标可“框选”时间区间,自动放大。

2.5 列字段(Columns)& 排序

  • 鼠标悬停日志 → “+” 添加列;拖动列头可排序;点击列头右侧 “x” 可删除。
  • 保存为 Saved Search(页面右上角 Save),后续可做可视化或告警。

2.6 导出:CSV 与 Share

  • Share → CSV ReportsGenerate;后台会生成异步下载链接,适合甩锅给运维。
  • Share → Permalink 可生成带时间戳与查询语句的短链,贴 Jira 里直接可复现。

3. Dev Tools:ES 的“瑞士军刀”

左侧菜单 → Dev Tools → 进入 Console。

3.1 三窗口布局

  • Editor(左):写请求。
  • Response(右):看返回。
  • History(底部小闹钟):自动存最近 500 条,支持关键字搜索。

3.2 快捷语法:省略 curl 全套

GET nginx-2025.11.01/_search
{
  "size": 0,
  "aggs": {
    "status_codes": {
      "terms": { "field": "status", "size": 10 }
    }
  }
}

提示:不用加 curl -XGET "http://ip:9200",Kibana 自动补全集群地址与认证头。

3.3 自动补全与快捷键

  • Ctrl + Space → 字段名、API 全提示。
  • Ctrl + / → 一键注释/取消注释。
  • Ctrl + Enter → 执行;多请求时用 “小扳手”“Copy as cURL” 可生成回滚脚本。

3.4 批量模板:_bulk、_reindex 秒级演练

POST _bulk
{ "index": { "_index": "test", "_id": "1" } }
{ "msg": "hello" }
{ "delete": { "_index": "test", "_id": "2" } }

Console 会把 _bulk 按换行符自动拆成 ND-JSON,无需手动加 \n

3.5 结果折叠与对比

  • 点击响应区 “>” 可折叠子节点;
  • 多 Tab 场景下,右键 “Compare response bodies” 可 diff 两次返回,排查 mapping 变更差异。

3.6 生产注意:关掉 “auto-format” 防误伤

Settings → Disable auto-formatting;防止 1 MB 聚合结果直接把浏览器卡死。

4. 实战 10 分钟:从“发现”到“修复”

场景:运营反馈 08:45 开始大量 499。

  1. Discover
    时间选 08:30–09:00,KQL 输入 status:499,直方图峰值 08:47。
    添加 Filterupstream_addr: "10.0.0.15:8080",确认仅该组后端。

  2. Dev Tools 验证

    GET nginx-2025.11.01/_search
{
  "query": {
    "bool": {
      "filter": [
        { "term": { "status": 499 } },
        { "range": { "@timestamp": { "gte": "2025-11-01T08:45:00" } } }
      ]
    }
  },
  "aggs": {
    "per_minute": {
      "date_histogram": { "field": "@timestamp", "fixed_interval": "1m" }
    }
  }
}

    返回显示 08:47–08:52 每分钟 3k+,之后陡降。

  3. 根因
    关联跳板机日志,发现 08:47 发布新版 JVM,GC 日志出现 “Stop-the-world 5.2 s”。回滚后 499 归零。

  4. 沉淀

    • Discover 保存为 “499_异常模板”
    • Dev Tools 聚合语句存 History → Star,下次 30 秒复现。

5. 常见坑与排查口诀

症状口诀真因
Discover 空白“先索引模式后时间”索引模式没覆盖到真实索引,或时间字段选错
Dev Tools 报 401“看 cookie 再看 space”多 Space 场景,cookie 的 space 与请求不一致
聚合结果 doc_count_error 过高“分片+size 太小”调大 shard_size 或直接 show_term_doc_count_error: true
CSV 下载 0 字节“字段 500 限制”高级设置 → discover:searchFieldsFromSource 关掉

6. 小结:一分钟记忆卡

  • Discover:索引模式 → 时间 → KQL → Filter → Saved Search → CSV。
  • Dev Tools:GET/POST 省 curl → Ctrl+Space 补全 → History 存模板 → 回滚靠 cURL。
  • 排查三板斧:先看直方图峰值 → 加过滤缩小范围 → Console 聚合二次确认。

把这两块屏玩顺,日志就在你鼠标底下,而不是在凌晨 3 点的微信电话里。
更多技术文章见公众号: 大城市小农民

es的页面工具kibanadev tool 菜单使用
nandao158的博客
08-02 3750
首先来到kibana 页面,找到dev tool 菜单,选择Console 1、查所有的索列表 GET /_cat/indices?v 或者 GET /_cat/indices 2、创建索引 POST nandao/create/1 { "name":"nan" } 删除索引 DELETE dao 3、所有库数据查询 GET _search { "query": { "match_all": {} } } 4、针对某个索引下,随机查询,默认...
ElasticSearch的python api以及dev tool方式的基本操作
XD的博客
05-11 1403
如果没有额外的安全验证,需要指定的内容包括:集群ip地址(list类型),端口号(每个节点的端口号可能不同,这里是字符串,代表所有节点的端口号是一样的),用户名,密码。如果你的Elasticsearch集群启用了安全性功能,你可能需要确保你的Kibana实例已经使用具有足够权限的用户进行了认证,以便能够执行删除索引的操作。es的查询方式很灵活,可以单独写一篇文章, 就先不列在这里面了,它可以模糊查询,可以计算文档距离,也可以精确查询,可以说非常丰富灵活。在你的Web浏览器中打开Kibana的Web界面。
业务ES常用运维命令
叱咤少帅的博客
04-28 703
业务ES常用运维命令
kibana Dev tools操作es的常用指令
管它是人是狐还是萨摩耶的博客
12-01 1940
es
Elasticsearch 的页面工具kibanadev tool 菜单使用
cxs812760493的博客
09-20 1138
首先来到kibana 页面,找到 dev tool 菜单,选择Console。4、针对某个索引下,随机查询,默认查询10条。9、按照单个条件查询返回特定内容和条数。10、当同一个属性满足逻辑或时的查询。8、单条件模糊查询 match。15、filter 过滤查询。5、分页模糊查询 查询3条。11、多条件联合并且查询。12、范围查询并进行排序。13、聚合查询查范围数量。14、聚合查询 aggs。7、精确查询 term。
Docker部署ELK 8.8.2(2)-Kibana部署&连接Elasticsearch
weixin_48244640的博客
07-04 2125
Docker部署ELK 8.8.2,ELK介绍,ElasticsearchKibana、Logstash、Filebeat安装及使用。
精选资源
docker-compose-elasticsearch-kibana:用于ElasticsearchKibana的Docker Compose
01-31
在本文中,我们将深入探讨如何使用Docker Compose来部署ElasticsearchKibana,这两个都是Elastic Stack(以前称为ELK Stack)的关键组件。** **Elasticsearch** 是一个强大的分布式、开源的搜索引擎,它被广泛...
精选资源
elasticsearch-kibana
03-27
《深入理解Elasticsearch-Kibana与Python实战》 Elasticsearch-Kibana是一个强大的开源搜索引擎和数据分析平台,其中Elasticsearch负责数据的存储、检索和分析,而Kibana则作为可视化工具,用于展示和交互操作这些...
rsyslog-elasticsearch-kibana:基于CentOS 7,rsyslog,elasticsearchkibana的集中式日志记录的Docker映像
05-15
rsyslog-elasticsearch-kibana 基础上的集中记录图像与, 和 。 包含几个用于服务器的预配置仪表板- , , , 和 。 截屏视频可在。 有关此工作以及如何配置FreeIPA服务器和客户端以将适当的日志发送到此容器的更...
alerting-kibana-plugin:Elastic为Elasticsearch Kibana Alerting插件打开发行版
02-03
Elasticsearch Alert Kibana的开放发行版 通过Open Distro for Elasticsearch警报Kibana插件,您可以管理自己的以监控数据并在满足特定条件时发送通知-全部来自Kibana。 强调 创建和调度监视器,这些监视器对Elastic...
Kibana/Es的开发工具dev_tools里面使用注释
willgon的专栏
04-20 2064
kibana的开发工具dev_tools,注释功能
Elasticsearch的开发工具(Dev Tools
最新发布
喝醉酒的小白
01-27 1741
Elasticsearch的开发工具(Dev Tools)通过Console、Search Profiler、Grok Debugger和Painless Lab等工具,为用户提供了一套全面的调试、优化和测试功能。这些工具不仅提高了开发效率,还帮助用户更好地理解和优化Elasticsearch中的查询和脚本。
Kibana中的Dev Tools简单使用
u011670474的博客
07-21 8978
在前面两篇文章中分别讲了ES的安装和Kibana的安装,本文将介绍如何使用Dev Tools来操作es。 首先启动es,再启动kibana,进入Dev Tools。 创建Index 删除index 删除所有index 将会导致kibana无法使用。需要重启kibana,慎用。 查询所有索引 创建Type Note:7.0*版本后,一个index内只能创建一个type,语法上有些变化。故图上有些红色字提示。 查询type的mapping 创建Document 根据i
Es devtools 操作文档
bbhaizili的博客
03-10 1278
1.创建索引:PUT /test_index 2.# 查询 ES 实例中现有的所有索引 GET _cat/indices 3.# 查询新创建的索引 GET /test_index 4.删除索引 DELETE demo_index 5.指定 ID 创建文档,使用 PUT 其中的 doc 就是之前提到过的 type,在 6.0 之后已经废弃了,全部写成 doc 即可 PUT /test_index/doc/1 { "username": "es", "age":...
es dev tools 最简单的crud
ppwwp的专栏
11-02 1186
#查看es的健康状态 GET /_cat/health?v #查看节点 GET /_cat/nodes?v #查看所有的索引的信息 GET /_cat/indices?v #新建一个索引 名称是customer pretty的作用是美化json PUT /customer?pretty #插入数据 PUT /customer/doc/1?pretty { "name": "John Doe" } #查询数据 GET /customer/doc/1 #删除index DELETE /cu.
基于kibanaDev Tools控制板上es常用查询语句
weixin_43865381的博客
07-31 9153
基于kibanaDev Tools控制板的es常用查询语句: 1、集群相关 //查询集群健康状态 GET _cluster/health // 查询所有节点 GET _cat/nodes // 查询索引及分片的分布 GET _cat/shards // 查询所有插件 GET _cat/plugins 2、索引相关查询 //查询所有索引及容量 GE...
kibanadevtools 下的查询
方方园园的博客
08-16 2208
GET es_test_final8/_mapping GET _search { "query": { "match_all": {} } } PUT /test GET /test POST _analyze { "analyzer": "standard" , "text": "你好呀" } POST test_index/_analyze { "analyze...
Kibana 5.6.2 主界面之(Dev Tools
Ma Ding的博客
10-08 6502
Kibana新版本5.6.2之开发工具,查询神器.
docker pull nshou/elasticsearch-kibana
03-04
docker pull nshou/elasticsearch-kibana 是一个D镜像的命令,用于从Docker Hub上拉取一个名为nshou/elasticsearch-kibana的镜像。这个镜像是一个集成了ElasticsearchKibana的容器,可以用于快速搭建和部署ElasticsearchKibana的环境。 Elasticsearch是一个开源的分布式搜索和分析引擎,用于存储、搜索和分析大量的数据。Kibana是一个用于可视化和分析Elasticsearch数据的工具。 通过执行docker pull nshou/elasticsearch-kibana命令,你可以将这个镜像下载到本地,并在本地运行该镜像来启动ElasticsearchKibana服务。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乔丹搞IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值