Kort kibana intro

1. Kibana

2. Om
● Web gui for logger med mulighet for dashboards etc
● Finnes pay moduler som gjør den mer lik Splunk
● Node.js basert
● Config i ES
● Noe OS config under /etc/default/kibana. Mesteparten i filen
/opt/kibana/config/kibana.yml
● Installert under /opt/kibana
● Logger default ingen steder (kan eventuelt endres i
/etc/kibana/config/kibana.yml)
● Start/stop/restart/status: sudo systemctl start/stop/restart/status kibana
● Søkene er basert på Apache lucene

3. Plugins
Om man savner noe… Så finnes det sikkert plugins på det.. Det kan installeres fra
https://github.com/elastic/kibana/wiki/Known-Plugins med sudo
/opt/kibana/bin/kibana plugin -i sample-plugin -u http://some.sample.url/directory
f.eks

4. Søk - Basic I
● Streng: “Dette er en test”
● Felter: computer_name: ndpredc01.preprod.nordic
● AND: computer_name: ndpredc01.preprod.nordic AND
record_number:535315621
● OR: computer_name: ndpredc01.preprod.nordic OR
record_number:535315621
● Wildcard: computer_name: ndpredc01.preprod.nordic AND
record_number:53531*
● Ukjent bokstav: computer_name: ndpredc01.preprod.nordic AND
record_number:5353199?9

5. Søk - Basic II
● Ekskludere: computer_name: ndpredc01.preprod.nordic AND
record_number:53531562* -message:" The computer"
● Range - computer_name: ndpredc01.preprod.nordic AND
record_number:[535315621 TO 53531569]

6. Søk - Advanced
● Regexp - computer_name: /[nN]dpredc01.*/
● Gruppering: (category:“Filtering Platform Connection” OR category:Logoff)
AND Information “Account Domain: PREPROD”
● Spesial tegn: + – && || ! ( ) { } [ ] ^ ” ~ * ? :
Skal det brukes så må du putte en forran. Eks: (1+1):2 så blir søket
(1+1):2

7. Kibana tutorial (web delen)
● https://www.elastic.co/guide/en/kibana/current/getting-started.html
● Data’ene er alt lest inn.. Bare kall ting du saver noe annet enn i eksempelet
siden de alt er der :)
● Lar deg massere søket mer og slå sammen data etc...

8. Mer ressurser
● https://lucene.apache.org/core/2_9_4/queryparsersyntax.html