Kibana安装与基本用法（ELK）

强制使用smtp 465端口加密发送邮件：

vim kibana.yml

添加如下：

sentinl:
  settings:
    email:
      active: true
      user: wjoyxt@.com
      password: wjoyxt666666
      host: smtp..com
      ssl: true
      port: 465
    report:
      active: true

------------------------------------------------------------------

Kibana也是一个开源和免费的工具，他可以帮助您汇总、分析和搜索重要数据日志并提供友好的web界面。他可以为Logstash 和ElasticSearch 提供日志分析的Web界面

它是一个基于浏览器页面的ES前端展示工具，是为ES提供日志分析的web接口，可用它对日志进行高效的搜索、可视化、分析等操作。Kibana全部使用HTML语言和JavaScript编写的，提供了Marvel监控的UI界面。Kibana是一个与ES以前工作的开源分析、可视化平台，使用Kibana可以查询、查看并与存储在ES索引的数据进行交互操作，使用Kibana能执行高级的数据分析，并能以图表、表格和地图的形式查看数据。Kibana使得理解大容量的数据变得非常容易，他非常简单，基于浏览器的接口使我们能够快速的创建和分享显示ES查询结果实时变化的仪表盘。最吸引人的地方应该是它的图标和表现能力吧。

官网下载地址：https://www.elastic.co/downloads/kibana

使用RPM包安装方式：

# wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpm

配置文件位于/opt/kibana/config/

日志文件位于/var/log/kibana/

默认连接的是本机elasticsearch，可在配置文件中修改 elasticsearch.url: "http://10.0.10.40:9200"

然后启动kibana服务：

#  /etc/init.d/kibana start

默认占用5601端口，可通过http://[ip]:5601在浏览器访问

初次进入需要至少创建一个索引模板，这个是对应elasticsearch中的索引；

默认给的是logstash-*，配置学习logstash时的测试数据直接在这里使用，所以直接点击页面的create按钮即可

创建好索引模板后，在Discover，左边选择所以logstash-*，右上角选择时间，就可以看到日志了，左边可以选择要显示的列

在Discover中上方的搜索框中输入查询公式进行查询，基本语法有：

直接在搜索框输入关键字，所有字段只要包括就会被匹配，比如输入一串手机号码；

如果是短语则需要用双引号，中文的话因为它不会分词，两个及以上中文都算短语：

"hello world"
"中文"

可以用冒号指定某个字段包含某些关键字，field:value，当然短语还是需要用引号：

level:ERROR
level:"错误"

非、与、或：

NOT level:ERROR
source:"logstash.log" AND level:ERROR
level:WARN OR level:ERROR

组合用小括号：

(source:"logstash.log" OR source:"filebeat.log") AND level:ERROR

必须包含、不可包含：

+ 必须包含
- 不可包含
source:(+"logstash.log" -"2016-12-15") #必须来自logstash，但不要12-15的

数字的范围（count类型必须是数字）：

count:[1 TO 2] #1 ~ 2

通配符，跟常用的一致：

? 匹配单个字符
* 匹配0到多个字符

按IP访问量前五名进行统计图示例子：http://www.cnblogs.com/fengjian2016/p/5935270.html