ES系列十9、kibana基本查詢、可視化、儀表盤用法

一. 定義索引模式匹配

一、前綴模糊匹配，一個模式匹配多個索引

　　每個數據集導入到Elasticsearch後會有一個索引匹配模式，在上段內容莎士比亞數據集有一個索引名稱爲shakespeare，帳戶數據集的索引名稱爲bank。一個索引匹配模式就是一個字符串包含可選的通配符，它能匹配多個索引。好比，在經常使用的日誌案例中，一個典型的索引名稱包含MM-DD-YYYY格式的日期，所以一個5月的索引匹配模式多是這樣：logstash-2015.05*。

二、選擇時間字段

　　Logstash數據集包含時間系列的數據，因此在點擊Add New按鈕建立完模式匹配後，確保Index contains time-based events複選框勾選，並在Time-field name下拉列表中選擇@timestamp字段。

三、Discover查詢數據

選擇建立的test*模式，點擊查詢

2、 基本查詢用法

一、分詞查詢，輸入：測試 日誌

　　分詞查詢，匹配任何字段包含（測試或日誌）

二、不分詞、輸入："測試 日誌"

　　匹配任何字段包含（測試 日誌）

三、指定字段查詢、輸入：level:INFO

　　查詢level字段爲INFO

四、指定字段查詢and多條件查詢、輸入：level:INFO and message:測試 日誌

　　查詢level字段爲INFO且message匹配字段包含（測試或日誌）

五、指定字段查詢or多條件查詢、輸入：level:INFO ormessage:測試 日誌

　　查詢level字段爲INFO或者message匹配字段包含（測試或日誌）

六、範圍查詢

　　account_number:<100 AND balance:>47500

七、正則表達式

　　* 匹配0到多個字符：*oken 

　　? 匹配單個字符 : tok?n

2、 數據可視化

不僅是發現數據 Visualize頁面的可視化工具能使你用好幾種不一樣的方式展現你數據集的不少方面。

一、添加可視化統計

二、選擇圖表（選擇餅圖）

三、選擇字段、排序按分詞統計，也能夠按照其餘方式統計（點擊上方save並保存）

 

3、 儀表盤

儀表盤就是添加多個可視化統計，固定在一個頁面，能夠同時看多個統計圖。右上方能夠設置自動刷新。