一个 索引模式 标识一个或者多个您想要通过 kiabna 探索的 Elasticsearch 索引。Kibana 会查找与指定模式匹配的索引名称。模式中的星号 (*) 匹配0个或者多个字符。例如，模式 myindex-* 匹配所有名称中以 myindex- 开头的索引，如 myindex-1 和 myindex-2 。

一个索引模式也可以简单地作为单个索引的名称。

要创建一个连接到 Elasticsearch 的索引模式：

点击 设置 > 索引 标签页。
指定与一个或多个 Elasticsearch 索引名称匹配的索引模式。默认情况下，Kibana 会认为您正在处理通过 Logstash 送到 Elasticsearch 的日志数据。
如果您的索引中含有一个时间戳字段，并且您想将这个字段用于执行基于时间比较的操作，请选择 索引含有带时间戳的事件 选项，Kibana 会读取索引映射并列出包含时间戳的所有字段，从中选择您需要的字段即可。
默认情况下，Kibana 会限制基于时间的索引模式的通配符扩展，范围为当前选定时间内的索引数据。点击 当搜索时不要展开索引模式 选项来禁用此行为。
点击创建添加新的索引模式。
要指定新模式作为查看探索标签页时加载的默认模式，请单击收藏按钮。


（2）当您在顶层标签页中切换时，Kibana 会记住您在每个标签页中的位置。
例如，如果您在设置标签页中查看了一个特定的索引模式，然后切换到探索标签页，接着再回到设置标签页，Kibana 会显示您刚才看过的那个索引模式。
想创建新的索引模式，点击索引模式列表上的 *添加* 按钮。
 
当您定义一个索引模式时，Elasticsearch 中必须存在匹配该模式的索引，并且这些索引必须包含数据。

要在索引名称中使用事件时间，需要使用下表中指定的日期格式语汇单元，并将其作为为静态文本放在模式名称中。

例如，[logstash-]YYYY.MM.DD 匹配所有前缀是 logstash- 并且后接 YYYY.MM.DD 这种时间戳格式的索引，如 logstash-2015.01.31 和 logstash-2015-02-01 。

表 2. 日期格式语汇单元

`M`	Month - cardinal: 1 2 3 … 12
`Mo`	Month - ordinal: 1st 2nd 3rd … 12th
`MM`	Month - two digit: 01 02 03 … 12
`MMM`	Month - abbreviation: Jan Feb Mar … Dec
`MMMM`	Month - full: January February March … December
`Q`	Quarter: 1 2 3 4
`D`	Day of Month - cardinal: 1 2 3 … 31
`Do`	Day of Month - ordinal: 1st 2nd 3rd … 31st
`DD`	Day of Month - two digit: 01 02 03 … 31
`DDD`	Day of Year - cardinal: 1 2 3 … 365
`DDDo`	Day of Year - ordinal: 1st 2nd 3rd … 365th
`DDDD`	Day of Year - three digit: 001 002 … 364 365
`d`	Day of Week - cardinal: 0 1 3 … 6
`do`	Day of Week - ordinal: 0th 1st 2nd … 6th
`dd`	Day of Week - 2-letter abbreviation: Su Mo Tu … Sa
`ddd`	Day of Week - 3-letter abbreviation: Sun Mon Tue … Sat
`dddd`	Day of Week - full: Sunday Monday Tuesday … Saturday
`e`	Day of Week (locale): 0 1 2 … 6
`E`	Day of Week (ISO): 1 2 3 … 7
`w`	Week of Year - cardinal (locale): 1 2 3 … 53
`wo`	Week of Year - ordinal (locale): 1st 2nd 3rd … 53rd
`ww`	Week of Year - 2-digit (locale): 01 02 03 … 53
`W`	Week of Year - cardinal (ISO): 1 2 3 … 53
`Wo`	Week of Year - ordinal (ISO): 1st 2nd 3rd … 53rd
`WW`	Week of Year - two-digit (ISO): 01 02 03 … 53
`YY`	Year - two digit: 70 71 72 … 30
`YYYY`	Year - four digit: 1970 1971 1972 … 2030
`gg`	Week Year - two digit (locale): 70 71 72 … 30
`gggg`	Week Year - four digit (locale): 1970 1971 1972 … 2030
`GG`	Week Year - two digit (ISO): 70 71 72 … 30
`GGGG`	Week Year - four digit (ISO): 1970 1971 1972 … 2030
`A`	AM/PM: AM PM
`a`	am/pm: am pm
`H`	Hour: 0 1 2 … 23
`HH`	Hour - two digit: 00 01 02 … 23
`h`	Hour - 12-hour clock: 1 2 3 … 12
`hh`	Hour - 12-hour clock, 2 digit: 01 02 03 … 12
`m`	Minute: 0 1 2 … 59
`mm`	Minute - two-digit: 00 01 02 … 59
`s`	Second: 0 1 2 … 59
`ss`	Second - two-digit: 00 01 02 … 59
`S`	Fractional Second - 10ths: 0 1 2 … 9
`SS`	Fractional Second - 100ths: 0 1 … 98 99
`SSS`	Fractional Seconds - 1000ths: 0 1 … 998 999
`Z`	Timezone - zero UTC offset (hh:mm format): -07:00 -06:00 -05:00 .. +07:00
`ZZ`	Timezone - zero UTC offset (hhmm format): -0700 -0600 -0500 … +0700
`X`	Unix Timestamp: 1360013296
`x`	Unix Millisecond Timestamp: 1360013296123

1.1.2.设置默认的索引模式

当您查看探索标签页时，默认索引模式将会自动加载。在 设置 > 索引 标签页的索引模式列表中，Kibana 会在默认模式名称的左侧显示一颗星。您创建的第一个模式将会被自动指定为默认模式。

设置其他模式作为默认索引模式：

点击 设置 > 索引 标签页。
在索引模式列表中选择您想要默认加载的模式。
点击模式的收藏按钮。

也可以在 高级 > 设置 中手动设定默认索引模式。

1.1.3.重新加载索引字段列表

当您新增了一个索引映射，Kibana 会自动扫描匹配模式的索引，并显示索引字段的清单。您可以重新载入索引字段列表以便能选择新增的字段

重载索引字段列表会导致 Kibana 的字段流行度计数器重置。流行度计数器是用来跟踪您在 Kibana 中经常使用的字段，并被用于对列表中的字段进行排序。

要重新加载索引字段列表：

点击 设置 > 索引 标签页。
从索引模式列表中选择一个索引模式。
点击该模式的重载按钮。

1.1.4.删除索引模式

要删除一个索引模式：

点击 设置 > 索引 标签页。
从索引模式列表中选择您想要删除的索引模式。
点击该模式的删除按钮。
确认您想要删除该模式。

1.2.字段管理

索引模式中的字段会以列表的方式显示，点击列标题可以按列对表格排序，点击最右边列的控制按钮可以编辑指定字段的属性。您可以从格式下拉菜单中手动设置字段的格式。具体格式选项依赖于字段类型。

您也可以在 流行度 文本框中设置您需要的该字段的流行度值。点击 更新字段 按钮确认更改，或者点击取消返回字段列表。

Kibana 有以下字段类型的格式化：

字符串
日期
地理位置
数字

1.2.1.字符串格式化

字符串字段支持 String 和 Url 的格式化。

字符串 字段格式化可以对字段内容做如下转换：

转换为小写
转换为大写
转化为标题（单词的第一个字母大写）
应用短点转换，对于 . 字符之前的内容，它将用其第一个字符替换整个字符串。如下所示：

原始字符串	转换后
`com.organizations.project.ClassName`	`c.o.p.ClassName`

Url 字段格式化支持如下类型：

链接类型可以将字段的内容转化为一个 URL 。
图片类型可以用于指定一张特定图片所在的图片目录。

您可以用模板来自定义任意类型的 URL 字段格式。一个 URL 模板 可以让您添加特定的值作为 URL 的一部分。使用字符串 {{value}} 可以将其值添加到指定的 URL。

例如，当:

一个字段含有一个用户 ID
对该字段使用了 Url 字段格式化
URI 模板为 http://company.net/profiles?user_id={{value}}

生成的 URL 会用来自该字段的用户 ID 替换 {{value}} 。

{{value}} 模板字符串会对字段内容做 URL 编码。当一个字段编码为 URL 出现非 ASCII 字符时，这些字符会被替换为由 % 字符加上相对应的十六进制代码。例如，字段值 users/admin 编码到 URL 模板中会变为 users%2Fadmin 。

当格式化的类型为图片时， {{value}} 模板字符串会被替换为对应 URI 图片的名称。

如果想要将未转义的值直接传递给URL，需要使用 {{rawValue}} 字符串。

标签模板 可以让您显示一段文本而不是直接显示 URL，您可以在标签模板中使用普通的模板字符串 {{value}} 。也可以使用 {{url}} 模板字符串来显示格式化的 URL。

1.2.2.日期字段格式化

日期字段支持 Date 、 Url 和 String 格式化。

Date 格式化能让您使用 moment.js 标准格式定义来选择日期的显示格式。

字符串 字段格式化可以对字段内容做如下转换：

转换为小写
转换为大写
转化为标题（单词的第一个字母大写）
应用短点转换，对于 . 字符之前的内容，它将用其第一个字符替换整个字符串。如下所示：

原始字符串	转换后
`com.organizations.project.ClassName`	`c.o.p.ClassName`

Url 字段格式化支持如下类型：

链接类型可以将字段的内容转化为一个 URL 。
图片类型可以用于指定一张特定图片所在的图片目录。

例如，当:

一个字段含有一个用户 ID
对该字段使用了 Url 字段格式化
URI 模板为 http://company.net/profiles?user_id={{value}}

生成的 URL 会用来自该字段的用户 ID 替换 {{value}} 。

当格式化的类型为图片时， {{value}} 模板字符串会被替换为对应 URI 图片的名称。

如果想要将未转义的值直接传递给URL，需要使用 {{rawValue}} 字符串。

1.2.3. 地理坐标字段格式化

地理坐标字段支持 String 格式化。

字符串 字段格式化可以对字段内容做如下转换：

转换为小写
转换为大写
转化为标题（单词的第一个字母大写）
应用短点转换，对于 . 字符之前的内容，它将用其第一个字符替换整个字符串。如下所示：

原始字符串	转换后
`com.organizations.project.ClassName`	`c.o.p.ClassName`

1.2.3. 数字字段格式化

数字字段支持 Url 、 Bytes 、 Duration 、 Number 、 Percentage 、 String 和 Color 格式化

Url 字段格式化支持如下类型：

链接类型可以将字段的内容转化为一个 URL 。
图片类型可以用于指定一张特定图片所在的图片目录。

例如，当:

一个字段含有一个用户 ID
对该字段使用了 Url 字段格式化
URI 模板为 http://company.net/profiles?user_id={{value}}

生成的 URL 会用来自该字段的用户 ID 替换 {{value}} 。

当格式化的类型为图片时， {{value}} 模板字符串会被替换为对应 URI 图片的名称。

如果想要将未转义的值直接传递给URL，需要使用 {{rawValue}} 字符串。

字符串 字段格式化可以对字段内容做如下转换：

转换为小写
转换为大写
转化为标题（单词的第一个字母大写）
应用短点转换，对于 . 字符之前的内容，它将用其第一个字符替换整个字符串。如下所示：

原始字符串	转换后
`com.organizations.project.ClassName`	`c.o.p.ClassName`

持续时间 字段格式化可以以如下增量显示字段的数值：

Picoseconds 皮秒
Nanoseconds 纳秒
Microseconds 微秒
Milliseconds 毫秒
Seconds 秒
Minutes 分钟
Hours 小时
Days 天
Weeks 星期
Months 月
Years 年

对于输入和输出，您都可以指定最多20位数字的增量。

颜色 字段格式化可以让您为数值型字段的某一段值区间指定特定颜色。

当您选择 颜色 字段格式化时，Kibana 会显示区间、 字体颜色 、 背景颜色 和范例字段。

点击 添加颜色 按钮将一段区间值与一个特定颜色关联。您可以点击 字体颜色 和 背景颜色 字段来显示颜色选择器，也可以在该字段中输入十六进制的颜色码。最后您可以在范例字段中看到所选颜色的效果。

Bytes 、 Number 和 Percentage 格式化可以让您使用 numeral.js 标准格式定义来选择此字段中数字的显示格式。

1.2.4. 脚本化字段

脚本化字段是依据 Elasticsearch 索引中的数据即时计算得到的。其作为文档数据的一部分显示在发现标签页上，您可以将其可视化，但是因为脚本化字段的值是在查询时实时计算产生的，所以它们不能被索引和查询。

Kibana 不能查询脚本化字段


脚本化字段因为实时计算数据，所以有可能非常耗费资源，并对 Kibana 的性能产生直接的影响。
请记住，脚本化字段是没有内置校验的。如果脚本有问题，每当您试图去查看动态生成的数据时都会得到异常。

当您在 Kibana 中定义一个脚本化字段时，您可以选择使用的脚本语言。从 5.0 版本开始，默认的选项是 Lucene 表达式和 Painless。如果您在 Elasticsearch 中启用了其它动态脚本语言，也可以在 Kibana 中使用，但是不建议这样做。因为它们不能确保沙箱安全。

从 Elasticsearch 5.0 开始，不推荐使用 Groovy、 Javascript 和 Python 脚本，未来的版本中将不再支持这些脚本语言

您可以在表达式中引用任何单值的数值字段，例如：

doc['field_name'].value

有关脚本化字段和其他范例的更多背景信息，请参阅此博客： Using Painless in Kibana scripted fields

创建一个脚本化字段

要创建脚本化字段:

进入 设置 > 索引
选择您要添加脚本化字段的索引模式。
进入模式的 脚本化字段 标签页。
点击 添加脚本化字段 。
输入脚本化字段的名称。
输入您想要通过索引数据即时计算值的表达式。
点击 保存脚本化字段 。

有关 Elasticsearch 中脚本化字段的更多信息，请参考 Scripting。

更新一个脚本化字段

要修改一个脚本化字段：

进入 设置 > 索引 。
点击您想要修改的脚本化字段的编辑按钮。
修改并点击 保存脚本化字段 以更新字段。

请注意，脚本化字段没有内置验证。如果您的脚本有问题，每次当您尝试查看动态生成的数据时，都会遇到异常

删除一个脚本化字段

要删除一个脚本化字段：

进入 设置 > 索引 。
点击要删除的脚本化字段的删除按钮。
确认您确实要删除该字段。

1.3.设置高级选项

您可以通过直接编辑 高级设置 页面中的选项来控制 Kibana 应用程序的行为。例如，您可以更改日期的显示格式，指定默认的索引模式，或者设置数值的显示精度等。

要设置高级选项：

进入 设置 > 高级 。
点击您想要修改选项的编辑按钮。
为该选项输入一个新的值。
点击保存按钮。


修改以下的设置会显著的影响 Kibana 的性能，并且有可能导致难以诊断的问题。
如果想恢复默认设置，将属性值设置为空字段即可，这可能会造成与其他配置不兼容的情况。如果删除一个自定义的设置，则会将其从 Kibana 中永久删除。

表 3. Kibana 设置指引

`query:queryString:options`	Lucene 查询字符串解析器选项。
`sort:options`	Elasticsearch 排序参数选项 sort 。
`dateFormat`	指定日期的显示格式。
`dateFormat:tz`	Kibana 使用的时区。默认值 `Browser` 表示使用用户浏览器检测到的时区。
`dateFormat:scaled`	这些值定义用于呈现基于时间的有序数据的格式，格式化的时间戳必须适配测量间隔。参考： ISO8601 intervals。
`dateFormat:dow`	这个属性定义了一周应该从哪一天开始。
`defaultIndex`	默认值是 `null` 。这个属性指定了默认索引。
`defaultColumns`	默认值是 `_source` 。定义“发现”标签页上默认显示的列。
`metaFields`	定义 `_source` 之外的字段数组。Kibana 会将这些字段合并到文档中一起显示。
`discover:sampleSize`	定义”发现“标签页中表格要显示的文档行数。
`discover:aggs:terms:size`	定义在”发现“边栏中点击”可视化“按钮时，下拉列表中要显示多少条目。默认值是 `20` 。
`doc_table:highlight`	”发现“标签页和保存的搜索仪表板中会高亮显示搜索结果。但是如果遇到超大文档可能会导致请求响应变慢。将此属性设置为 `false` 可禁用高亮显示。
`doc_table:highlight:all_fields`	通过在 `query_string` 查询上使用 `all_fields` 模式的单独 `highlight_query` 来改进高亮显示性能。如果您在索引中使用 `default_field` 字段，则设置为 `false` 。
`courier:maxSegmentCount`	Kibana 将”发现“功能中的请求拆分成多个段，以限制发送到 Elasticsearch 集群请求的大小。该设置限制了段列表的长度。太长的段列表会显著增加请求处理的时间。
`courier:ignoreFilterIfFieldNotInIndex`	设置这个属性为 `true` 可以跳过那些可视化索引中不存在字段的过滤器。在组成仪表板的可视化组件来自于多个索引模式时特别有用。
`fields:popularLimit`	这个设置控制显示多少个热门字段。
`histogram:barTarget`	当日期直方图使用 `auto` 间隔时，Kibana 试图产生条块的数量。
`histogram:maxBars`	日期直方图不会生成超过此属性值的条块数量，并在需要时自动缩放。
`visualization:tileMap:maxPrecision`	tile 地图上显示的最大 geoHash 精度：7表示高，10表示非常高，12是最大值。 Explanation of cell dimensions.
`visualization:tileMap:WMSdefaults`	坐标图中 WMS MAP 服务器支持的默认属性。
`visualization:colorMapping`	在可视化组件内映射值到指定颜色。
`visualization:loadingDelay`	在载入可视化组件查询时的等待时长。
`visualization:dimmingOpacity`	当一个可视化组件的一部分通过悬停其上而突出显示时，其他元素会产生不透明效果，数值越大意味着其他元素越不透明。
`csv:separator`	设置导出数据时用作分隔符的字符串。
`csv:quoteValues`	设置这个属性为 `true` 以引用导出的值。
`history:limit`	一些字段具有历史数据，比如查询时的输入内容，此属性的值可以限制显示多少条最近的记录。
`shortDots:enable`	设置这个属性为 `true` 可以缩短可视化组件中的字段名称。例如，显示 `f.b.baz` 替代 `foo.bar.baz` 。
`truncate:maxHeight`	这个属性指定了表格中单元格显示时占用的最大高度，设置为0则不限制。
`indexPattern:fieldMapping:lookBack`	此属性设置最近匹配模式的数量，以便查询名称中包含时间戳的索引模式的字段映射。
`indexPattern:placeholder`	当添加一个新的索引模式到 Kibana 时默认使用的占位符。
`format:defaultTypeMap`	每个字段类型默认格式名称的映射，没有明确提到的字段类型使用 "default" 。
`format:number:defaultPattern`	"number" 格式的默认数字格式。
`format:bytes:defaultPattern`	"bytes" 格式的默认数字格式。
`format:percent:defaultPattern`	"percent" 格式的默认数字格式。
`format:currency:defaultPattern`	"currency" 格式的默认数字格式。
`savedObjects:perPage`	保存对象列表中每个页面上显示的对象数量。默认值是 5。
`timepicker:timeDefaults`	默认选择的时间过滤器。
`timepicker:refreshIntervalDefaults`	时间过滤器的默认刷新间隔。
`dashboard:defaultDarkTheme`	设置此属性为 `true` 可以使新建仪表板默认使用 dark 主题。
`filters:pinnedByDefault`	将此属性设置为 `true` 以使默认情况下过滤器具有全局状态。
`notifications:banner`	您可以指定一段自定义内容临时通知给所有用户。该字段支持 Markdown 。
`notifications:lifetime:banner`	指定自定义通知显示的持续时间（以毫秒为单位）。默认值为3000000。将此字段设置为 `Infinity` 可禁用此通知。
`notifications:lifetime:error`	指定警告通知显示的持续时间（以毫秒为单位）。默认值为3000000。将此字段设置为 `Infinity` 可禁用错误通知。
`notifications:lifetime:warning`	指定错误通知显示的持续时间（以毫秒为单位）。默认值为3000000。将此字段设置为 `Infinity` 可禁用警告通知。
`notifications:lifetime:info`	指定信息通知显示的持续时间（以毫秒为单位）。默认值为3000000。将此字段设置为 `Infinity` 可禁用信息通知。
`metrics:max_buckets`	设置桶的最大数量阈值。例如，避免当用户选择了超长时间（比如1年）和超短的时间间隔（比如1秒）时产生超过上限的桶。
`timelion:showTutorial`	设置这个属性为 `true` 以便在用户第一次使用 Timelion 时显示 Timelion 教程。
`timelion:es.timefield`	当使用 `.es()` 查询时，默认字段包含时间戳。
`timelion:es.default_index`	当使用 `.es()` 查询时，默认的索引。
`timelion:target_buckets`	用于计算可视化中的自动间隔，这是试图表示的桶的数量
`timelion:max_buckets`	用于计算可视化中的自动间隔，这是试图表示的桶的最大数量。
`timelion:default_columns`	在 timelion 工作表上使用的默认列数。
`timelion:default_rows`	在 timelion 工作表上使用的默认行数。
`timelion:graphite.url`	[试验的] 用于 graphite 查询，这里设置其主机的 URL
`timelion:quandl.key`	[试验的] 用于 quandl 查询，值来自于 www.quandl.com 上您的 API key。
`state:storeInSessionStorage`	[试验的] Kibana 跟踪 URL 中的 UI 状态，当存在大量信息并且 URL 变得非常长的时候，可能会导致问题。启用这个功能会将部分状态保存在浏览器会话中，以保持较短的 URL。
`context:defaultSize`	指定在上下文视图中显示的环绕条目的初始数量。默认值是5。
`context:step`	使用上下文视图中的按钮时，指定用于递增或递减上下文大小的数字。默认值是5。

1.4.管理保存的搜索、可视化组件和仪表板

您可以在 设置 > 对象 中查看、编辑和删除保存的搜索、可视化组件以及仪表板。您也可以导入或者导出搜索、可视化组件和仪表板的集合。

保存的对象会显示在发现、可视化组件 或者 仪表板 页面的待选列表中。要查看保存的对象：

进入 设置 > 对象 。
选择您想要查看的对象。
点击查看按钮。

编辑一个保存的对象能够让您直接修改对象的定义。您可以改变对象的名称、添加说明并修改定义对象属性的 JSON 。

如果您试图访问一个对象，但是其关联的索引已经被删除，Kibana 将显示其“编辑对象”页面。您可以：

重新创建索引，以便您可以继续使用该对象。
删除该对象并使用不同的索引重新创建它。
修改该对象的 kibanaSavedObjectMeta.searchSourceJSON 属性，将其引用的索引名称更改为指向一个现存的索引模式。如果您正在使用的索引被重命名，这种方法就非常适用。


对象属性的修改是没有校验的，提交无效更改将会导致对象不可用。
通常您应该使用 发现 、 可视化组件 或者 仪表板 页面来创建新的对象，而不是直接编辑现有的对象。

要编辑一个保存的对象：

进入 设置 > 对象 。
选择您想要编辑的对象。
点击编辑按钮。
修改对象的定义。
点击 保存对象 按钮。

要删除一个保存的对象：

进入 设置 > 对象 。
选择您想要删除的对象。
点击删除按钮。
确认您要删除该对象。

要导出对象的集合：

进入 设置 > 对象 。
选择要导出的对象的类型。您可以导出一组仪表板、搜索或可视化组件。
选择您想要导出的对象的选择框，或者点击 选择全部 。
点击导出然后选择要导出 JSON 数据的存储位置。


导出的仪表板并不包含其关联的索引模式。
要将保存的仪表板导入运行在另一个 Elasticsearch 集群上的 Kibana 实例，需要提前手动重新创建索引模式。

要导入对象的集合：

进入 设置 > 对象 。
点击导入，然后导航到存有要导入对象集合的 JSON 文件所在位置。
选择 JSON 文件后点击打开。
如果集合中的对象有可能会覆盖 kibana 中已经存在的对象，需要确认是否覆盖。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/黑客灵魂/article/detail/792780