• 日志监控示例

    前提条件:ELKF 日志监控平台搭建完成。

    本章节来介绍一下如何使用 Kibana 可视化页面来操作日志监控平台。安装步骤在这里就不多做介绍了。若 ELKF 日志监控平台开启了认证模式则需要先进行登录后才能操作。

    Kibana 常用查询字段介绍

    一、管理

    在左侧菜单栏点击管理进入管理页面,在该页面可以管理 Elasticsearch 的索引,配置 Elasticsearch 索引的生命周期策略以及 kibana 查询 Elasticsearch 数据的索引模式,还可以管理用户和角色。

    1.1 管理 Elasticsearch 索引

    1.点击 Elasticsearch 下的索引管理进入索引管理页面,在该界面可以对 Elasticsearch 的索引进行增删改查的操作。点击重载索引按钮可以立即更新索引信息。若配置了索引生命周期策略, 则可以在此页面通过索引生命周期状态以及生命周期阶段来筛选索引信息。启用右上角的包括汇总索引包括系统索引可以扩大索引的查询范围。

    2.勾选一条或多条索引信息时,会弹出管理个索引的按钮,该按钮可以对索引进行关闭、强制合并、刷新、清空缓存、清空内容、冻结以及删除等操作。

    3.点击 Elasticsearch 下的索引生命周期策略进入管理页面,点击右上角的创建策略来新增一条索引生命周期策略。索引生命周期分为四个阶段:热阶段温阶段冷阶段删除阶段。可以根据需求对索引的各种生命周期阶段进行配置。 这里仅配置了生命周期删除阶段,用于删除过期的索引。配置完成后点击另存为新策略保存数据即可。

    在索引生命周期策略列表页可以查看到我们创建的策略信息,点击操作按钮可以查看链接到策略的索引以及将策略添加到索引模板。我们可以调用 Elasticsearch 创建模板的接口来配置一个我们所需要的索引模板, 可以使用 Kibana 的开发工具来发送请求进行创建。例子如下:

    PUT /_template/integration_dev_template
    {
      "order" : 0,
      "index_patterns" : [
        "integration_dev-*"
      ],
      "settings" : {
        "index" : {
          "number_of_shards" : "1",
          "refresh_interval" : "5s"
        }
      },
      "aliases" : { }
    }
    

    模板创建完成后,回到刚刚的页面点击将策略添加到索引模板按钮,在弹出的页面中选择我们刚刚创建的模板后点击添加策略即可。此时该索引模板下匹配的所有索引都应用上了这个生命周期策略。

    1.2 配置 Kibana 索引模式

    1.点击 Kibana 下的索引模式进入索引模式配置页面,点击创建索引模式按钮,在弹出的页面中输入索引模式,支持模糊匹配,匹配成功时页面会给出提示,确认匹配的索引无误后点击下一步进入第二步配置页面。

    2.在该界面可以配置时间筛选字段名称,可以指定该字段按照时间筛选数据,也可以选择不设置,但是不设置则无法通过时间筛选缩小查询范围。填写完成后点击创建索引模式即可。

    3.创建的第一条索引模式默认被应用,之后 kibana 与 Elasticsearch 交互时操作的数据均为该索引模式匹配到的数据。

    1.3 管理用户和角色

    1.点击安全性下的用户链接进入用户管理页面,在该页面可以查看所有的内置用户以及自己创建的用户,内置用户不可删除。可以勾选非内置用户将其删除,支持批量删除。

    2.点击右上角创建新用户按钮进入新建用户页面,其中用户名和密码为必输参数,可以在创建时为用户分配角色,分配角色后该用户就具有分配角色的所有权限。信息填写完毕后点击创建用户即可成功创建。

    3.在用户列表页点击用户名信息可以进入用户信息编辑页,其中内置用户仅可以修改密码,普通用户可以修改全名电子邮件地址以及修改分配的角色信息和密码信息,修改完成后点击更新用户即可完成修改,点击删除用户即可删除当前用户。

    4.在用户列表页点击角色或在角色信息列表页点击角色名称进入编辑角色页面,在该界面可以查看和修改角色在 Elasticsearch 以及 Kibana 上的操作权限。同样,内置角色不可修改。可以点击每一项的了解详情链接来详细了解权限控制的范围。

    5.点击安全性下的角色链接进入角色管理页面,在该页面可以查看所有的内置角色以及自己创建的角色,内置角色不可删除。可以勾选非内置角色将其删除,支持批量删除。

    6.点击右上角创建角色进入新建角色页面,在该页面可以为角色分配操作 Elasticsearch 和 Kibana 的权限,输入角色名称,配置好权限后点击保存即可完成角色的新建。

    二、Discover

    1.在左侧菜单栏中点击Discover进入Discover页面,可以在该页面下获取我们所需要的日志信息,Discover页面如下:

    2.在搜索框中直接输入查询信息,例如:输入"预定义",效果如下:

    指定查询字段再进行查询,例如:在可用字段下选择messagetags字段,再输入"预定义"进行查询,效果如下:

    3.点击添加筛选按钮,添加DSL查询语句用于过滤筛选,例如:我们添加一条筛选tags字段的值等于integration_dev-hzero-iam的DSL查询语句,填写完成后点击保存即可,此时查询的日志信息为hzero-iam服务下的日志信息。输入"预定义",查询效果如下:

    4.可以选择时间范围查看一个时间段内系统的日志信息。

    三、查看服务日志

    1.在左侧菜单栏点击管理进入管理页面,查看Elasticsearch的索引,输入服务名称来查找服务日志所对应的Elasticsearch索引信息。此处以hzero-iam服务的主节点做例子,则Elasticsearch索引值为integration_dev-hzero-iam-2019.09.17

    2.左侧菜单栏点击日志进入日志管理页面,默认没有任何日志索引,点击更改源设置进入配置源页面。

    在配置源页面配置名称及日志索引信息即可,日志索引中输入刚刚我们查询到的Elasticsearch索引值(此处支持模糊匹配查询,例如我们想同时查看iam两个节点的服务日志,则可以在此输入integration_dev-hzero-iam-*)。配置修改完成后点击更新源即可更新日志源配置。此时我们就可以查看到iam服务的日志信息了。

    3.Kibana查询语言基于Lucene查询语法。在左上角的查询框中输入需要在当前日志源信息中查询的内容,查询方式有很多种,这里介绍一些比较方便的查询方式。

    (1) 使用双引号将查询内容包起来进行查询,例如: "预定义"
    (2) 在查询内容后面使用'~'进行模糊查询,例如: "预定义~"
    

    4.在右上角点击日历图标弹出时间选择框,可以在此选择一个时间来获取该时间点下所对应的服务日志信息。

    5.kibana加载日志可能会比较慢,如果需要查看日志实时信息时,可以点击实时流式传输,该方式可以相对较快的进行实时日志同步。

    四、查看Elasticsearch和Kibana的运行状态及资源情况

    在左侧菜单栏中点击Monitoring进入服务监控页面,该页面负责展示Elasticsearch和Kibana的基础信息,资源占用情况以及运行状态等内容。

    4.1 Elasticsearch

    1.点击Elasticsearch下概览链接可以查看Elasticsearch的各项资源指标及性能指标信息。可以通过切换tab页来查看Elasticsearch的节点信息,索引信息以及CCR信息。 可以通过在右上角来指定查询的时间段,默认为过去一小时。

    2.点击节点链接可以总览Elasticsearch的所有节点及节点的资源占用情况。可以通过在右上角来指定查询的时间段,默认为过去一小时。

    点击节点的名称可以查看该节点的详情信息,该界面展示当前节点的传输地址、JVM堆、可用磁盘空间、文档、数据、索引、分片、类型等信息以及一些统计折线图及分片图例。

    3.点击索引链接可以查看Elasticsearch下的索引信息,可以通过在右上角来指定查询的时间段,默认为过去一小时。可以在此处筛选指定的索引信息。

    点击筛选出的索引名称可以查看该索引的详情信息,该界面展示当前索引的运行状况、合计、主分片、文档大小、分片合计、未分配分片等信息以及一些统计折线图及分片图例信息。

    4.2 Kibana

    1.点击Kibana下概览链接可以查看Kibana的状态、实例、内存、请求、连接、最大响应时间等信息以及客户端请求和客户端响应时间折线图。可以通过切换tab页来查看Kibana的实例信息。 可以通过在右上角来指定查询的时间段,默认为过去一小时。

    2.点击实例连接可以查看Kibana的状态、实例、内存、请求、连接、最大响应时间等信息以及Kibana连接的实例信息列表,可以输入筛选条件来查询所需的实例信息。

    点击筛选出的实例名称可以查看该实例的详情信息,该界面展示当前实例的状态、传输地址、OS可用内存、版本、运行时间等信息以及一些统计折线图信息。可以在此页面查看同一时间段下Kibana的监控信息。