一、部署Kibana

官方文档：https://www.elastic.co/guide/en/kibana/current/index.html

1.1 安装Kibana

#我们就专门搞了一台机器做kibana，所以这里也单独的搞一台机器192.168.14.66做kibana。

先把Elasticsearch装一遍：https://blog.51niux.com/?id=201

$ vim /home/elk/elasticsearch/config/elasticsearch.yml 

cluster.name: elasticsearch_51niux
node.name: 192.168.14.66
network.host: 192.168.14.66
node.master: false     #主要是这两个地方改成false
node.data: false
discovery.zen.ping.unicast.hosts: ["192.168.14.60","192.168.14.61","192.168.14.62","192.168.14.63","192.168.14.64"]
discovery.zen.minimum_master_nodes: 3
discovery.zen.fd.ping_timeout: 120s
discovery.zen.fd.ping_retries: 6
discovery.zen.fd.ping_interval: 30s

$ /home/elk/elasticsearch/bin/elasticsearch  -d

#wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-linux-x86_64.tar.gz

# tar zxf kibana-6.0.0-linux-x86_64.tar.gz      #线上用的kibana-4.5.3，因为我们elasticsearch用的是新版这里也用新版。

# cp -rf kibana-6.0.0-linux-x86_64 /home/elk/kibana-6.0.0

# ln -s /home/elk/kibana-6.0.0 /home/elk/kibana

# chown -R elk:elk /home/elk/kibana-6.0.0

1.2 配置Kibana

$ vim /home/elk/kibana/config/kibana.yml   #就修改下面两个地方其他的都走默认了

#server.port: 5601
server.host: "192.168.14.66"
elasticsearch.url: "http://192.168.14.66:9200"
#kibana.index: ".kibana"

#配置文件详解可以看官网：https://www.elastic.co/guide/en/kibana/current/settings.html

1.3 启动Kibana

$ /home/elk/kibana/bin/kibana   #可以看到下面的信息是没有ERROR之类的错误的

  log   [17:09:52.928] [info][status][plugin:kibana@6.0.0] Status changed from uninitialized to green - Ready
  log   [17:09:52.986] [info][status][plugin:elasticsearch@6.0.0] Status changed from uninitialized to yellow - Waiting for Elasticsearch
  log   [17:09:53.016] [info][status][plugin:console@6.0.0] Status changed from uninitialized to green - Ready
  log   [17:09:53.044] [info][status][plugin:metrics@6.0.0] Status changed from uninitialized to green - Ready
  log   [17:09:53.257] [info][status][plugin:timelion@6.0.0] Status changed from uninitialized to green - Ready
  log   [17:09:53.262] [info][listening] Server running at http://192.168.14.66:5601
  log   [17:09:53.264] [info][status][ui settings] Status changed from uninitialized to yellow - Elasticsearch plugin is yellow
  log   [17:09:58.345] [info][status][plugin:elasticsearch@6.0.0] Status changed from yellow to yellow - No existing Kibana index found
  log   [17:10:01.501] [info][status][plugin:elasticsearch@6.0.0] Status changed from yellow to green - Kibana index ready
  log   [17:10:01.502] [info][status][ui settings] Status changed from yellow to green - Ready

# netstat  -lntup|grep 5601   #可以看到5601端口也启动起来了

tcp        0      0 192.168.14.66:5601      0.0.0.0:*               LISTEN      1242/node

反问url测试：http://192.168.14.66:5601

#web页面也出现了。

在你开始使用Kibana之前，你需要告诉它你想要探索哪些Elasticsearch索引。 第一次访问Kibana时，系统会提示您定义一个与一个或多个索引名称匹配的索引模式。 而已。
 这就是所有你需要配置开始使用Kibana。 您可以随时从“管理”选项卡添加索引模式。

要使用Kibana配置要访问的Elasticsearch索引，请执行以下操作：

1.  浏览器指向端口5601以访问Kibana UI。 例如，localhost：5601或http://YOURDOMAIN.com:5601。

2. 指定一个与一个或多个Elasticsearch索引名称相匹配的索引模式。 该模式可以包含星号（*）以匹配索引名称中的零个或多个字符。 填写索引模式时，将显示任何匹配的索引。

3. 单击下一步以选择包含要用于执行基于时间比较的时间戳的索引字段。 Kibana读取索引映射以列出包含时间戳的所有字段。 如果您的索引没有基于时间的数据，请选择我不想使用“时间过滤器”选项。

4. 点击创建索引模式来添加索引模式。 这第一个模式被自动配置为默认模式。 如果您有多个索引模式，则可以通过单击管理>索引模式中索引模式标题上方的星形图标来指定将哪一个用作默认模式。

全做完了！ Kibana现在连接到您的Elasticsearch数据。 Kibana显示为匹配索引配置的字段的只读列表。

$ nohup /home/elk/kibana/bin/kibana &   #让kibana后台运行

博文来自：www.51niux.com

1.4  检查Kibana的状态

url：http://192.168.14.66:5601/status

#状态页面显示有关服务器资源使用情况的信息，并列出已安装的插件。

1.5 Kibana新版介绍

官网介绍：https://www.elastic.co/cn/blog/kibana-6-0-0-released

此版本具有许多新功能，包括：

CSV导出
提高辅助功能的新颜色
观察者UI基于阈值的警报
仪表板的全屏模式
只读仪表板模式
X-Pack监视群集警报的电子邮件通知
X-Pack许可证到期集群警报
实验Kibana查询语言（Kuery）
可视化代码的重构

CSV export：

      为了安全起见，构建了CSV导出。在Discover应用程序中搜索要导出的文档，然后通过报告菜单将匹配的文档作为CSV文件导出。 CSV导出附带X-Pack basic，这是免费许可证。

提高辅助功能的新颜色：

      在6.0中，我们在Kibana上做了一些改变，以提高可访问性，其中一个就是让UI中的颜色与那些有不同色盲的人有适当的对比。重新设计了Kibana的样式来解决这些问题。还改进了Kibana的屏幕阅读和键盘导航。

基于阈值创建和编辑警报的新UI：

       它包括基于预先查看警报约束的预先输入建议和图形反馈的构建器经验。它支持向日志、电子邮件或slack发送带有模板值的警告消息。

仪表板的全屏模式：

       在可以在查看仪表板时输入全屏模式。这隐藏了浏览器chrome和顶部导航条。如果您使用了任何过滤器，您将看到过滤器栏，否则将会被隐藏。要退出全屏模式，鼠标停留在页面左下角的Kibana按钮上，或者按下ESC键。这种模式与alpha2中引入的Dashboard模式相辅相成，它们一起为NOCs、SOCs和办公室周围的其他报亭提供了一个很棒的解决方案!

只读仪表板模式：

       在6.0版本中，我们使设置限制访问用户变得比以往更容易，对Kibana的有限可见性。已经可以创建只读用户，但6.0中的新增功能是一个匹配的用户界面，已经使其设置变得简单。 只需向用户分配新的保留的内置kibana_dashboard_only_user角色以及相应的数据访问角色，登录到Kibana时，他们将处于仅仪表板模式。

X-Pack监视群集警报的电子邮件通知:

      监控中的群集警报是在5.4版本中添加的，但是直到现在警报才出现在Monitoring应用程序的Overview页面上。 此新功能可让您在警报触发时接收电子邮件通知。 要使用它，请进入Kibana管理中的高级设置页面，输入`xpack：defaultAdminEmail`的电子邮件地址，然后单击保存：

#内置的警报将在最初触发时以及何时解决的情况下向该地址发送电子邮件。

#使用此功能需要为Elasticsearch节点进行配置从watches发送邮件的能力。如果还没有设置，请参阅“配置电子邮件帐户”的X-Pack文档：https://www.elastic.co/guide/en/x-pack/current/actions-email.html#configuring-email

X-Pack许可证到期集群警报：

      当发布集群警报的第一个阶段时，将会有更多的警报类型，将在新的x包许可证到期警报中实现这一承诺。这个警报会告诉你x包许可证即将到期。当有效期为30天的时候，它开始作为一个低优先级的警报，当过期15天之后变成中等优先级的警报，当过期7天的时候就变成了高度优先级的警报。

实验Kibana查询语言：

      在＃12282（https://github.com/elastic/kibana/issues/12282）中，介绍一个实验Kibana查询语言，它默认是禁用的，可以通过Kibana配置来启用。

      Kibana目前提供了四种不同的搜索机制，其职责重叠：

查询栏中的Lucene查询语法
查询栏中的查询DSL
通过UI创建的过滤器(如果编辑的话，可以包括定制的查询DSL)
Console控制台

       将Lucene查询语法和查询DSL暴露给用户会产生一些问题。由于不控制查询语法，因此不能实现需要对用户查询进行内省的功能。这包括诸如:

ES搜索API更改时保存的搜索的安全无缝迁移
在查询栏中键入/自动完成
动态帮助文本

      可以通过在Kibana中建立一个代表原始Elasticsearch查询的模型来解决这些问题，但是建立我们自己的查询语言还有其他的好处：     

我们可以支持在ES查询DSL中可用的，Lucene查询语法不支持的查询类型
我们可以实现超出Lucene查询语法范围的功能，例如 支持查询语言中的聚合和可视化
我们可以为管理员提供更精细的谷物控制，以限制访问昂贵的查询，例如 领先的通配符或正则表达式
我们可以添加对脚本字段的支持
我们可以统一查询栏和过滤条，消除何时使用这个或那个混淆

重构可视化代码：

       在创建新的可视化效果时，开发人员不再仅限于使用Angular作为渲染技术。 该代码现在还使开发人员能够创建不符合当前边栏布局的自定义编辑器。 通常使用的功能（如访问查询栏或时间过滤器）现在也显示在可视化对象上。 这避免了从Kibana内部导入个别模块的需要。 这些变化是长期努力的第一步，为在Kibana中构建可视化提供强大的长期编程接口。