ELK Stackでシステム監視 kibana最初の一歩

システム屋さんベンダーさんがセットアップして置いていってくれた ELK Stack、システムを管理する人から見たらkibanaはとっつきにくいこともあってその後全く手を入れずに、置土産のdashboardを後生大事に見続けるということはある筈。逆に妙にやる気になる担当者がいると、触ってる途中でうっかり既存のオブジェクトを変更したり消してしまって、しかも自力では戻せないとか。慌ててシステム屋さんを呼んだら作った担当者がいなくなってて「元は何を表示させてたんですか?」とか聞かれてもアバウトにしか答えられずに結局元とは違うのしか表示できなくなったり。あるよね?

或いは、「好き放題にいろいろ見れますよ」という触れ込みで見せて貰ったデモでは簡単そうだったのに、納品時の説明でも簡単そうだったのに、いざ自分で触ろうと思ったら何一つわからなくて途方に暮れる。無いとは言わせない。

最初の第一歩二歩を踏み出すのがおっかなすぎるし嫌がらせのようなドキュメントを読んでもさっぱり理解できないのがkibanaだと思っている。
でも、少し慣れてしまえばよほど変なことをしようとしなければ難しくないし、むしろ感心することばかり。

そこで、ELK Stackを1から作るのはド素人の「がとらぼ」の中の人が後にすっかり忘れ果ててド素人に戻った将来の自分の為に残すkibanaの備忘録。

kibana 基本のキ

作業の流れ

  1. インデックスパターン作成
  2. DiscoverでSearchオブジェクトを作成
  3. VisualizeでSearchオブジェクトからVisualizationオブジェクトを作成
  4. 作成したVisualizationオブジェクトをDashboardに配置

上級者の人は口出ししないでね。

logstashのインデックスパターンを作成する

logstashを使ってelasticsearchにデータを流し込んでる場合は、まず基本のインデックスパターンとしてlogstash-*を作る。作らなくても全く使えなくはないけど後で後悔する。

kibanaでlogstashインデックスを作る 1
1. 左列のリストからManagementを選択する。
2. Index Patternsを選択する。

kibanaでlogstashインデックスを作る 2
インデックスパターンはおそらく最初から logstash-* が表示されている筈。(破線の赤枠部分
Time-field nameの部分はプルダウンメニューから @timestamp を選択する。
[Create]を押してインデックス作成。

kibanaでlogstashインデックスを作る 3
これで、左列からManagementを選択、上部の[Index Patterns]タグを選択で ★logstash-* が表示される筈。(他に作成した indexをdefault指定していなければ)
データ収集対象(データの種類)が増えてフィールドが増えた場合は[]を押してフィールドリストを更新する。(忘れやすい)

次はSearchオブジェクトの作成。

関連記事: