我想对术语进行汇总,并将计数显示为表格。因此,我创建了一个术语面板,并配置了“字段”字段。该字段包含示例1和示例2等值。当kibana创建表时,它会显示“example”和“1”以及“2”的总和。为什么不把“示例1”和“示例2”这两个词加起来呢?是否配置错误?使用字段的.raw扩展以防止拆分术语。“field.raw”而不是“field”这个答案在起作用之前,似乎还需要做很多工作,包括指定某些映射配置。
我是elastisearch的新手,正在尝试完成本教程:
我遵循了这些步骤,但Kibana dashborad仍然为空,即没有向其发送任何数据。我只想发送的日志是来自系统日志的数据。我试图调查出了什么问题,发现在浏览器中输入时:
http://localhost:9200/_aliases?pretty
仅返回:
{ }
接下来,我了解到这与索引或索引有关(sill无法找出区别),很可能我的配置文件不正确
我的问题是什么文件需要重新编写?有什么具体的我遗漏的吗?有什么资源可以帮助我了解更多
我在Kibana的terms_stats面板中遇到了一个错误。每当我尝试添加它时,无论设置如何,我都会得到以下结果:
Error: b.results.facets is undefined
然后是stacktrace:
Error: b.results.facets is undefined
g@http://kibana/app/panels/terms/module.js?r=3.1.0-23cd70f:4:2561
h@http://kibana/app/panels/terms/mo
我无法加载已保存的仪表板。在浏览器控制台中,我看到:
GET http://localhost:9200/kibana-int/dashboard/Your%20Basic%20Dashboard?1422529331315 404 (Not Found)
但在Elasticsearch文件夹中,我有kibana int索引。如何删除所有已保存的仪表板,在浏览器起始页中打开并创建新仪表板。现在在浏览器中,我看到:
有一个.kibana索引(除非您修改了kibana.yml文件以指定索引的自定义
标签:elasticsearch Kibana
elastic-stack
我继承了一个用于日志的ELK堆栈,我仍在学习诀窍——我的任务是在我们的日志存储索引的特定类型上创建两个数值字段。我似乎不知道该怎么做。我尝试过的事情:
在Kibana设置页面中,转到我的日志存储索引并找到该字段。转到“控件”选项卡上的“编辑”,将类型列为字符串(并且它是不可变的)。格式下拉列表显示URL和字符串
转到我的一个Elasticsearch主机,找到文档类型的grok规则,发现它们确实是用来将字段解析为数字的。示例:%{NUMBER:response\u code}
我没有主意了,因为
据我所知,kibana和opentsdb都可以与Elastic logstash kibana(ELK)堆栈结合使用
OpenTSDB提供了一个内置的、简单的用户界面,用于选择一个或多个度量和标记以生成图形作为图像。或者,可以使用HTTP API将OpenTSDB连接到外部系统,如监控框架、仪表板、统计数据包或自动化工具。每个(时间序列守护进程)TSD都使用开源数据库HBase来存储和检索时间序列数据
Kibana还可用于绘制带有访问日志和自定义日志的指标,opentsdb在系统中有何帮助?op
标签:elasticsearch Kibana
high-availability
我能够用带有HA的x-pack集群安装kibana 5.1。具有多个具有haproxy设置的kibana节点。我能够让集群运行,但当我尝试登录时,它让我登录,但在下一个请求中,它将显示会话超时并要求我再次登录。我猜这是因为第二个请求击中了另一个节点,因此它没有登录。我的问题是在这种情况下如何配置身份验证?谢谢 既然OP喜欢答案,就转向答案
让你的haproxy使用粘性会话。让你的haproxy使用粘性会话?是的,这似乎是一条路。谢谢
我对Elasticsearch 5.4和NEST 5.4.0有一个非常奇怪的情况。我编写了一个简单的C#控制台应用程序,每分钟查询一次Elastic,返回点击/文档,并将其存储在Postgres数据库中以供进一步处理。它在几个小时内工作得很好,然后开始返回带有valid.DebugInformation和零文档的查询,但我可以在Kibana开发工具中复制并运行相同的查询并获得结果。当我停止控制台应用程序并重新启动它时,它成功地查询并返回点击,一切正常。下面是代码示例和日志条目。我正试图弄明白为什
标签: Kibana
avroapache-kafka-connectkafka-producer-api
在通过Kafka elasticsearch连接器添加数据时,如何允许kibana将我的时间戳字段用作@timestamp
我是这样定义我的avro模式的
public static String userSchema = "{\"type\":\"record\"," +
"\"name\":\"myrecord\"," +
我是新来的,有弹力的和kibana的。
我正在Kibana创建我的第一个可视化。我从我认为简单的东西开始:条形图。然而,我对这些文档非常迷茫。
我有一个具有以下映射的索引:
{
"mapping": {
"properties": {
"fake": { ###### classification field
"type": "long"
},
"paper": { ###### newspaper name
我对Kibana创建的新用户(使用用户“弹性”)有问题。这是我下的命令
我在7.5.1版本中使用ELK
首先,通过添加xpack.security.enabled:true
其次,在kibana.ymli编辑elasticsearch.username=“elastic”和elasticsearch.password是我的设置密码
我启动elasticsearch和kibana服务
我用用户“elastic”签署Kibana链接
我创建的角色“测试”如图所示
我创建了用户“test001”,角
安装ELK 780后,我无法找到此处描述的elasticsearch证书
缺少以下文件
bin/elasticsearch-certutil
有没有人找到了一种利用免费版本的ELK生成证书的方法
标签:elasticsearch Kibana
nlogelastic-common-schema
我正在开发一些.Net framework应用程序,我被要求使用kibana作为UI将日志发送到elasticsearch。
为了实现标准化,我必须实现ECS(弹性公共模式)
看一下我们在ECS上的示例,我们只需要通过以下方式实现它:
我将它发送到elastic search,而不是发送到控制台,就像我们在示例中所做的那样
它的输出将是一个很好的Json对象
也许我们希望在kibana上看到如下内容(kibana-Discover):
考虑到这一点,可能Json对象应该被视为字符串,所有内
在这种情况下,我需要从日志中收集数据——比如说今天从弹性搜索(使用kibana)中发生的所有内部服务器异常,然后每天通过邮件转发收集的数据(就像作业一样)
是否可以仅使用kibana仪表板
如果是,遵循哪些好的资源?将日志发送到Elasticsearch并触发Kibana发送的基于事件的电子邮件
原木
使用Kibana并根据ELasticsearch中索引的事件编写警报
将日志发送到Elasticsearch并触发Kibana发送的基于事件的电子邮件
原木
使用Kibana并根据ELasti
标签:elasticsearch Kibana
elastic-stack
我是Kibana的新手,尝试在本地(Ubuntu 20.04上)安装Elastic Stack,遵循本教程:
所有systemd服务都在运行,但无法访问Kibana
curl-XGEThttp://localhost:5601导致curl:(7)无法连接到本地主机端口5601:连接被拒绝
netstat还显示端口5601未侦听。我对kibana.yml做了以下更改:
server.name: "myname"
elasticsearch.hosts: ["http:
我可以在Kibana开发工具(或任何技巧)中更改默认缩进空格吗
默认值为2个空格,我希望更改为4个空格
我已经在Debian存储库中安装了elasticsearch和logstash 1.4。它正在工作并从另一个转发系统日志的设备收集日志
我遵循kibana安装指南,但收到一条错误消息:连接失败
通过检查es是否正在运行或确保http.cors.enabled:true
在控制台中,我遇到以下错误:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http:/
我已经在我的服务器上安装了kibana和elastic search,但它抛出错误
Upgrade Required Your version of Elasticsearch is too old. Kibana requires Elasticsearch 0.90.9 or above.
但我得到的结果是
curl -XGET localhost:9200/_nodes/_all/process?pretty
是
这是因为在kibana config.js文件中提到的端口是80
然后我
我已经启动并运行了Kibana,它根据我的参数漂亮地显示了数据
如何在受保护的环境中使用Kibana?为了解释我的意图:
如何与用户共享Kibana,但不公开ElasticSearch实例。
唯一的方法(如果我没有弄错的话)是给我的仪表板提供一个用户链接,但正如我提到的,这就是ElasticSearch实例本身的路径。对于kibana3,大多数人使用nginx代理规则来解决这个问题。另外,请查看Elasticsearch“”产品。看起来Search Guard支持此功能:
使用JavaAPI运行Kibana创建的查询是否可行?
我的意思是,从用户动态创建的Kibana仪表板中获取一个就绪的查询,并像Java中的参数一样传递它
这是来自Kibana仪表盘的查询示例:
{
"size": 0,
"query": {
"filtered": {
"query": {
"query_string": {
"analyze_wildcard": true,
"query": "*"
}
},
"filter": {
标签:elasticsearch Kibana
kibana-4
我有一个平铺图,可以看到每个区域X的平均值。在某些缩放区域,只有1-2个用户,因此平均值并不意味着什么。是否可以添加一个过滤器来删除少于n个用户的区域的平铺?我注意到响应JSON对每个geohash bucket都有doc_计数,但我不知道如何对其进行过滤。我注意到响应JSON对每个geohash bucket都有doc_计数,但我不知道如何对其进行过滤。
所以我有3次搜索
我对3行日志感兴趣(每行是一个文档,msg是一个字段)
搜索1是一个尝试,搜索2和3是失败的,我需要显示以下内容的图表:
(CountS1-(CountS2+CountS3))/(CountS1/100)在Y轴上,日志日期在X轴上
我知道如何在X轴上使用日志的日期,但对于Y轴,我只能做1次搜索的计数、平均值、总和等操作
有什么想法吗
谢谢。是的,最好的解决方案是转到脚本字段并创建所需的字段
您可以这样做,例如:
(doc['CountS1'].value-(doc['Count
我想先运行一个过滤器,例如,tag:foo,然后对所有匹配的行运行一个日期直方图,是否可能
转到发现页面并输入搜索查询:tag:foo
在发现页面中输入查询后,保存当前搜索:
然后,在创建可视化时,在选择类型日期直方图之后,您可以使用“从保存的搜索”来选择您创建的搜索。
在这种情况下,只有来自搜索的文档才会出现在图表上
我正试图从ElasticSearch中获得一个用户id的独特列表,其中用户id位于超过1亿条记录的多个文档中
如果进行正常聚合计数,则最小文档计数可以正常工作。但是,如果将聚合更改为基数聚合,则最小文档计数仅适用于构成聚合的总文档计数,而不适用于聚合中的唯一总计数
有没有人想出一个解决办法
在elasticsearch中,可以查看特定索引中最流行的搜索短语/单词
这可以在基巴纳设立吗 您可以使用搜索慢速日志-
您也可以动态设置慢速日志设置。设置好后,您应该可以在index_search_slowlog.log中看到日志。将这些日志摄入elasticsearch并在kibana中可视化。您可以根据此数据创建仪表板
我们使用这些慢速日志来监控慢速查询、流行查询等。您可以通过使用搜索慢速日志来做到这一点-
您也可以动态设置慢速日志设置。设置好后,您应该可以在index_search_sl
我在Kibana上使用弹性搜索5.6.2,目前我面临一个问题
我的文档在timestamp字段上建立索引,该字段通常为整数,但最近有人记录了一个时间戳不是整数的文档,Kibana抱怨类型冲突
“发现”面板不显示任何内容,并弹出以下错误:
保存的“字段”参数现在无效。请选择一个新字段。
Discover:“field”是必需的参数
如何查找导致这些冲突的文档,以便找到创建错误日志的服务?字段类型(整数或文本/关键字)不是基于每个文档定义的,而是基于每个索引(在映射中)定义的。我猜您正在处理ti
标签:elasticsearch Kibana
kibana-6
我想在Kibana(v6.2)中过滤弹性搜索聚合结果。例如,我只想显示超过100小时的小时总数(比如在SQL中使用命令)。我知道我们可以在filter部分过滤其他字段的结果,但我不知道如何在聚合函数上应用过滤器。我试图在Kibana的filter部分使用post_filter,但没有成功。
有什么想法吗 您可以在高级字段中增加聚合查询
它将被添加到请求中,如图所示
另一个问题是在这一领域投入什么。您可以检查总和合计您能详细说明一下吗?什么是考试?我想过滤“字段总和”。
标签:elasticsearch Kibana
dashboardkibana-6
我已将Kibana dashboard only模式分配给用户,以仅访问我的dashboard。在我的仪表板中,我保存了一个搜索结果,因此具有“仅仪表板模式”角色的用户也应该能够查看和浏览。
问题是,当用户登录时,仪表板中没有可用的数据
用户可以看到仪表板和仪表板的名称以及保存的搜索结果的名称,但当单击它时,它会显示“未找到结果”或“未显示结果,因为所有值都等于0”,以进行可视化。
我已经检查了“时间范围”,但什么也没发生
有什么想法吗
谢谢。因此,解决方案是,我还需要授予用户访问底层Elast
假设我有一个布尔字段success。在一周的时间里,我有100份文件。如何获得kibana成功率的可视化结果?基本上计数成功,其中true/计数成功。我看到了很多可视化选项,但无法找到任何可以实现这一点的选项。好吧,您可以设置一个简单的饼图,在成功字段中进行术语聚合。此外,您还可以配置过去7天的时间间隔
这将为您提供每个成功字段值的百分比。我建议的方法是否成功?
标签:elasticsearch Kibana
kibana-7
我想知道是否有插件或解决方案可以从Kibana仪表板启动HTTP调用(RESTFul API),以获取JSON并将其显示在表中。(不需要存储数据)
谢谢,
保罗
我已经将Apache日志与Kibana和地理位置集成在一起。
我用文档和“集群和网格”创建了一个地图。
它显示计数为5的簇。我假设这意味着该位置有5个ip地址。当我放大时,我只能看到一个位置。
我不明白。
我想知道是否有办法让集群在地图上显示ip地址
假设我有一个Kibana仪表盘。仪表板显示条形图。我将仪表板作为iframe嵌入到父应用程序中。用户单击条形图中的类别。我希望父帧以某种方式响应
有没有办法做到这一点?Kibana是否对postMessage()发出任何调用,我可以拦截这些调用以确定仪表板中何时发生某些事件?是否存在实现此功能的插件
在检查Kibana仪表板时,我看到了对postMessage()的某些引用,但这似乎仅限于使用web workers的底层库。我没有看到任何关于这个主题的文档,但我想知道这个功能是否可行,即使只是通
标签:elasticsearch Kibana
elastic-stackxpack
在安装x-pack插件之前,我的ElasticSearch是health
安装x-pack插件后,出现了一些安全错误
所以,我要开始了
xpack.security.enabled: false
在我的elasticsearch.yml和kibana.yml中,然后重新启动elasticsearch成功
但有时会出现以下错误
deMacBook-Pro:bin yyq$ ./elasticsearch
[2017-02-16T11:44:15,349][INFO ][o.e.n.Node
我是Kibana 5.3的新用户
我正在“开发工具”面板中进行搜索。当我使用完搜索代码后,如何保存此搜索,以便稍后可用于可视化等?它保存在本地存储中,只要您不清除浏览器缓存,就可以了。但是,您可以从中附加类似于加载的内容=http://my-app/assets/kibana.json添加到kibana URL,并指定一个json文件,将查询保存到该文件。这样,您也可以对其进行版本设置
例如,我将我的查询保存在我正在处理的项目的资产文件夹中,并确保我同步了2个,以防我的缓存被吹走。请注意,如果复
我有分层Elasticsearch数据,我将其“规范化”为以下映射的文档:
_id | custom_id | parent_id | text | value
其中,\u id是自动生成的Elasticsearch id,custom\u id是我分配的唯一整数,parent\u id充当外键,当当前文档是被引用文档的子文档时,引用文档的custom\u id。两个文档的示例如下所示:
abc | 1 | -1 | foo | 123
def | 2 | 1 | bar | 456
每个文
是否可以创建一个Kibana脚本字段,使用CIDR表示法比较IP地址的值?或者我可以用正则表达式匹配,将IP字段视为字符串
例如,我想返回netflow数据中的所有外部地址,以便在另一种情况下使用。数据具有source.ip和destination.ip。我的网络是192.168.0.0/24,我想要所有其他不同的地址
以下比较不起作用(只是一个示例)。
if (doc['source.ip'].value == "192.168.0.0/24") {
return doc['dest
标签: Kibana
elastic-stackelasticsearch-opendistro
我已经为OpenID配置了opendistro_安全性。当我尝试验证一个用户时,它失败了。可能是因为该用户没有权限。如何授予openid用户权限?我似乎找不到一个明显的方法来处理内部用户.yml。我解决了这个问题。对于后代来说,除了Kibana.yml文件中的openis设置之外,还需要做些什么
1:在每个Elasticsearch节点的config.yml文件中,我需要添加以下内容:
authc:
openid_auth_domain:
http_enabled: true
这是我获取内部点击数的代码
GET my_index/_search
{
"_source": [
"inner_hits"
],
"query": {
"nested": {
"path": "someNestedKey
标签:elasticsearch Kibana
querydsl
我已经建立了一个Kibana/Elasticsearch实例来分析我正在收集的一些数据。
我正在分析来自不同网站的新闻文章,我想使用一个查询/过滤器,通过在“article_id”字段上使用基数聚合,只显示一次文章
为此,我设置了一个镜头可视化,将可视化添加到仪表板,并通过“检查”选项从可视化获取请求。然后,我尝试在Discover选项卡(“editasquerydsl”)中将请求用作过滤器。唯一受查询影响的似乎是时间。当我在“开发工具”部分运行查询时,它运行得很好
我的请求如下所示:
{
标签:elasticsearch Kibana
kibana-7
我的DSL查询如下所示。出于某种原因,当我在Kibana CLI中运行它时,它会告诉我:
我检查了一下,看是否是支架对齐的问题,但看起来不错。是否有什么原因导致此消息?您需要使用子句组合所有查询
非常感谢。因此,每当您有多个查询时,您必须包含bool&match?@新手编码器每当您有多个查询时,您需要使用bool查询,并且您可以根据您的用例使用must/should/filter子句组合这些查询。我现在理解了,感谢您的澄清和帮助!我当然可以!:)
GET elastic-search-app-
标签:elasticsearch Kibana
elastic-stackelk
如何在elasticsearch中将“build\u duration”:“null”替换为值2160000
开发工具>控制台
GET myindex/_search
{
"query": {
"term": {
"build_duration": "null"
}
}
}
输出:-
{
"took" : 10,
"timed_out&qu
大家好
在Kibana的配置文件config.js中,我们只能配置elasticsearch地址和Kibana索引的名称,我希望能够为Kibana索引配置另一个ES地址
因此,我可以存储kibana dashboard,并将其从/加载到另一个ES服务器(我正在请求数据的服务器)
谁能帮忙;谢谢
风信子你所说的另一个“风信子”是什么意思。如果另一个ES是集群的一部分,那么该ES的所有索引也可以指向kibana。这是一个配置问题。您只需在配置文件中填写elasticsearch地址。默认情况下,ki
标签:elasticsearch Kibana
kibana-4
我正在为一个项目测试Kibana4
我从数据库表中创建了一个索引,该索引由3个字段组成:
日期
使用者
行动
我想在我的仪表板中将我的索引显示为一个简单的表3列,N行
我尝试使用数据表可视化,但我找不到一种方法来显示没有任何指标计数、总和等的结果
也许很简单,我错过了一些东西。。。有办法做到这一点吗
关于,在“发现”选项卡上,创建一个仅包含所需字段的视图,然后将其另存为搜索
在Dashboard选项卡上,点击+按钮添加一个小部件,但是如果您查看顶部,就会看到一个Searches选项卡。选择该选项
标签: Kibana
kibana-4elasticsearch-plugin
我正在IIS反向代理服务器后面运行Kibana,并出现以下错误
信使提取错误:未处理的信使请求错误:套接字挂起
我使用的是版本:4.2.2,内部版本:9177。
我只有在使用代理服务器时才会出现此错误,我需要限制对Kibana的访问。我不知道是什么原因造成的,也不知道如何修复
Error: unhandled courier request error: socket hang up
at handleError (http://kibana-server/bundles/kibana.bund
我有一个字段,在一个字符串中包含2-3项。
假设字段为:
"target" : "one two three"
下面是我的脚本:
{
"script": {
"script": {
"inline": "doc['target'].value != null && (doc['target'].value.contains('one') || doc['target'].valu
标签:elasticsearch Kibana
kibana-5
我们有关于elasticsearch中恶意软件的数据。我们必须用kibana分析它。对于每个示例(恶意软件),我们都有一些SSL证书。这些是嵌套字段。我是elasticsearch新手,很难在官方文档中找到我想要的内容
我想要什么
我希望能够根据以下规则创建图表(即:折线图):
Y轴上的简单计数
X轴上的证书文件名
仅显示主题==颁发者
简化映射
我已经尝试过的事情
不使用嵌套对象
它不起作用,因为没有“加入”。图表已创建,但信息毫无价值
使用kibana嵌套fork
这实际上很有帮助。至
我想查询整数范围。我只是说我的概念是min你需要使用Lucene:
您需要使用Lucene:
你能出示一份你认为应该匹配的文件吗?另外,字段的类型是什么??字段名是time\u value。它的数据类型是字符串。我们将日期作为整数存储在time\u value字段中。如果数据类型是字符串,则很难使用范围查询。您需要将类型改为integer或long。字符串世界使用词法排序,因此25000
elasticsearch==7.10.0
我希望ping本地主机“5601”,以确保kibana是否正在运行,但显然无法ping
注意:我知道elastic search内置了ping功能,但出于我项目中的特定原因,我仍然希望使用cmd行ping
C:\User>ping 5601
Pinging f00:b00:f00:b00 with 32 bytes of data:
PING: transmit failed. General failure.
PING: transmit f
如图所示,Kibana在索引数据中插入的红点是什么?这是我在本地环境中对描述字段执行的简单查询。起初,我认为它们可能会调用无效字符,但我不知道为什么(例如)B或5会无效。它们不是数据的一部分,也就是说,你不能复制/粘贴它们,这就是为什么我相信它们是某种警告。我尝试过各种各样的谷歌搜索,但没有在文档中找到任何东西。
如果您确定它们不是来自您的数据摄取管道,或者在索引之前它们还没有存在于您的输入数据中,我猜这会发生在analyzer级别,也会发生在您根据分析策略对文档进行索引时(在您的案例中,我猜这
标签: Kibana
alertelastic-stackelk
我使用的是ElkV7.12.1。我启用了一些SIEM规则并配置了电子邮件操作。我可以通过{{{{{}}{{}{{/context.alerts}}访问事件详细信息
但是当发送邮件时,内容是一行的。是否有任何方法可以使用HTML标记格式化SIEM警报
谢谢
1 2 3 4 5 6 ...
下一页 最后一页 共 37 页
elasticsearch kibana将术语汇总为整个字符串
elasticsearch Kibana
elasticsearch-plugin