kibana的使用

1、点击工具栏中的Management --> 选择index patterns --> 点击Create Index Pattern按钮。默认情况下，Kibana认为你要访问的是通过Logstash导入ElasticSearch的数据。我们用的是filebeat,这里我写的index pattern为filebeat_*。

2、然后选择一个包含了时间戳的索引字段，可以用来做基于时间的处理。Kibana会读取索引的映射，然后列出所有包含了时间戳的字段（实际是字段类型为date的字段，而不是"看起来像时间戳的字段"）。如果你的索引没有基于时间的数据，关闭Index contains time-based envents参数。

3、点击create之后，第一个被添加的pattern会自动被设置成默认值。如果有多个index pattern的时候，可以在Discover索引模式里选择一个进行探索数据。

1、设置时间过滤器：

       时间过滤器的作用是把搜索结果限制在一个特定的周期内。可以选择quick时间、relative相对时间、absolute绝对时间来进行过滤。也可以在直方图上设置时间过滤器：想要放大那个时间间隔，点击相应的柱体；单机并拖曳一个时间区域。注意需要等到光标变成加号，才意味着这是一个有效的起始点。可以用浏览器的后退键来回退你的操作。

2、自动刷新：

     在日志量比较大的时候，我们查看日志时一般会自己手动点击刷新来查看最新的数据比较麻烦。可以采用自动刷新的方式。

3、按字段过滤 :

      你可以过滤搜索结果，只显示在某字段中包含了特定值的文档。也可以创建反向过滤器，排除包含特定字段值的文档。比如存在字段字段为id，现在对该字段进行过滤，可以选择字段并点击add。

4、如果需要移除，remove该字段即可

1、范围（>500）

1totalTime: [500 TO *]

2、不等于

1NOT monitorName: "XXX"

3、字符匹配

   正则表达式：    +url:/.*m\.qfang\.com\/shenzhen\/rent\/[0-9]+/  +appName: qfang-online-wap

  模糊匹配：    +appName: qfang-online-w*

加了引号就表示精确查询，无法使用模糊匹配     appName: "xxx"

 将两个搜索命令连接在一起用AND

！ 为取反的意思

1、搜索filebeatname， hits左边匹配的数量

2、可以将搜索的内容进行保存

3、然后可以在Visualize中将保存的匹配内容图像化显示出来

①先进行创建；

②选择图像；

③可以自己创建新的搜索来创建图像，或者用保存的搜索来创建图像（图像用保存的）；

④进去只显示了Y轴，需要添加一下X轴；