一、kibana是啥,能干嘛
我们经常会用es来实现一些关于检索,关于分析的业务。但是es本身并没有UI,我们只能通过调用api来完成一些能力。而kibana就是他的一个外置UI,你完全可以这么理解。
当我们进入kibana的主页的时候你可以看到这样的布局。
他展示了四大模块,分别是:
1、Enterprise Search 企业级搜索,这个不难理解,他本身就是和es密切配合的,当然可以做搜索。
2、Observability 可观测性,kibana可以用来监控应用的性能指标等一系列能力,因为他可以和APM整合使用。
3、Security 安全性,kibana可以收集指标信息,做出预警等一系列操作来保证安全性。
4、Analytics 分析 ,kibana可以在已有的数据上绘制图表,折线图还是直方图还是饼图等等,用来帮助你分析数据。
这都是他拥有的能力,可以看到其实kibana技术栈十分强大。你可以从他的目录进去看到他的能力和内容。
可见操作还是很方便的。而这四大能力,我们将会从Analytics 分析 开始逐步研究他的实现和操作。
二、填充数据
当我们有了es和kibana的时候,既然我们要研究分析功能,分析你得有数据吧。实际上你可以有很多种方式向es中写入数据,包括你直接调用es得api写入。但是这里我们不准备写代码,我们只看kibana.kibana中本身就是支持向es中灌数据的。我们来看这里。
1、导入kibana内置数据
我们这里先灌入kibana的内置数据,我们点进去这个Try sample data。
这里kibana为我们内置了三类数据。分别是:
1、Sample eCommerce orders:电商数据,你可以用来做一些电商分析。
2、Sample flight data:航空公司数据,如果你做一些航空,打车之类的业务,可以用这个模拟。
3、Sample web logs:web应用的日志数据分析,实际上这个我们比较常用,毕竟日志分析大家都有需求。
你只需要点击add data就能添加进去了,而且对应的es索引他也会给你创建。很自动化。
这里我们把三个数据都加进去。
添加进去之后你来到分析栏目的discover就能看到数据。
你可以切换你的数据类型,然后右边的列表就会展示出来,ok,此时我们算是成功导入了,我们接下来来看如何分析这几类数据。
2、导入自己的数据
我们还可以以json和csv格式导入外部数据,我们先来准备一份数据。这份数据可以到这个地址去下载。卖房子的样本数据
ok,我们来看操作。
点进去这里上传数据文件。
点击这个import我们来看。
此外你还要去Advanced去看一下我们导入数据索引的映射,也就是mapping,这个mapping在es中异常重要。
这三个部分你要检查一下,如果kibana设置的不对,你可以做修改,比如日期字段它要是没给你设置成date,可能后面你用日期范围检索就会有问题,目前看来我们这个好像没啥问题。
我们直接下一步就好了。
我们再回到Analytics的discover查看这个索引。
没数据的原因在于页面的检索条件范围。右上角有个时间范围是检索最近15分钟的数据,我们导入进去的数据估计时间都好几年前的了,所以我们调整一下检索条件。实际上如果有人要你分析几天之前或者多久之前的数据,你就可以来这里修改时间。
ok,此时就看到数据了,没有问题。
此时我们就完成了两种方式的填充数据,接下来我们会用这些数据来实现我们的功能。
三、分析数据
1、简单的分析例子
我们先来简单看一下如何玩,我们先来分析一下航空公司数据。
此时我们看到它以列表的形式展示出来了航空数据的内容,不过它默认展示近15分钟的(右上角的时间条件),这个近15分钟指的是数据中的timestamp字段范围。而且我们同事看到这个列表只展示了两列字段,分别是timestamp和整个文档,实际上这样很不可读,你直接读这个doc文档难看死了,所以我们可以来添加几个我们想要的列。
添加列
比如我想查看FlightNum航空公司号这个列。我们只需要在左侧点中这个字段的+号即可。
于是列表就变成了这样。
kql过滤条件
因为时间是右上角的条件,他会一直存在的。那如果我们想自己添加检索条件呢,上面有写kql的地方,也就是这里。
比如我想查看FlightNum为05ZASIX的数据,那就是这样。
当然你可能觉得这个kql很难写,不好记,放心你输入的时候kibana会有提示。而且如果你多个条件的话可以用and,如果你有优先级逻辑的话,可以用()括起来之类的操作都可以。而且它还支持通配符那些做模糊检索。数字类型的> <都可以的。
但是它存在一个问题,就是如果我执行完查询之后,再切出去再回来,这个他是不会为我们留下记录的。有时候你输入了一个很复杂的检索条件,再让你输入一遍,你是不是想死。
于是它提供了保存功能,我们可以把这个条件存起来,以后想用的时候就拿来用,我们来看一下。
我们可以在这保存我们的检索条件。
其中include fiters这个默认勾选的,其实就是保存你的条件,
include time filter默认不勾选,他是会保存你右上角那个时间条件,你想勾就勾吧。
等你再次想查的时候,只需要加载就好。。
此时条件就又被加载上去了,你也不用再写一遍了。
展示详情
那我如果想看这个文档的详情呢?
点这里就能展示详情,你可以看列表形式或者json形式都可以。
对字段的统计分析
我们有一个字段是Carrier,他表示航空的运营商,可能就是什么山东航空,国航之类的吧,具体老外的航空我也不太懂。假如我们要统计一下过去七天内的数据中各个航空公司的数量占比呢?注意这个功能对那些地理位置的存储字段没用。
而且你发现下面还能查看分析表visualize你点进去就看到他给你绘制了图表。
所以很方便。
按字段排序
我们这个列表你不指定就是按时间倒排的,如果我想按照FlightNum来排序呢?
全屏展示
点击这个可以全屏显示数据。不过好像没啥必要,比较鸡肋。
字段统计Field statistics
我们来到我们的列表。此时我们查看过去30天的数据,其实就是所有的数据。
我们看到这里有一个Field statistics的按钮,他的作用是帮助我们统计分析我们列表上展示的字段。点进去看看。我们列表有一个DistanceKilometers里程字段。
你能看到他他可以对某个字段进行分析,当然这是个测试功能,可能在未来高版本会正式启动。
他会列出什么排行榜,最大值,中值,最小值等等。