Skip to content

ELK的操作指南

ELK相关操作:

  1. 使用sql语名查询es里面的内容

  2. 登录服务器elk服务器

  3. 使用sql来查询ES里面的数据,有以下二种方式:

    • ES客户端:

    [gmadmin@gm-elk ~]$ elasticsearch-sql-cli #执行sql-cli命令

    sql> SELECT * from "logstash-web-nginx-access-2019.09.17" limit 3; #需要注意表名使用双引号,单引号会有语法问题

    • ES api:

    [gmadmin@gm-elk ~]$ curl -XPOST -H "Content-Type:application/json" 'http://localhost:9200/_sql?format=txt' -d '{ "query": "SELECT * FROM library WHERE release_date < '2000-01-01'" }'

  4. 目前支持的SQL操作:

    • DESCRIBE TABLE

    • SELECT

    • SHOW COLUMNS

    • SHOW FUNCTIONS

    • SHOW TABLES

    具体操作可以查看url: https://www.elastic.co/guide/en/elasticsearch/reference/7.x/sql-commands.html

  5. 将kibana查询出来的结果进行下载导出(csv格式)

  6. 在kibana中选择相应的时间区间,进行内容过滤,选择相应的字段;

  7. 保存Save当前的内容,输入相应的Title,

  8. 选择Share, CSV Reports, Generate CSV, 进行生成相应的csv的格式数据,

  9. 单击management, 选择Reporting, 找到刚刚输入的Title,等待生成下载按钮。