配置 Kibana 检索日志--日志服务-火山引擎

文档中心

导航

配置 Kibana 检索日志

最近更新时间：2025.08.19 10:54:30首次发布时间：2025.08.18 19:06:16

Kibana 是一款开源的数据分析和可视化平台，可以对 Elasticsearch 中的数据进行查询、分析和可视化。通过日志服务提供的兼容 Elasticsearch 接口，可以实现在 Kibana 中查询和分析日志服务中的数据。
本章节介绍部署 Kibana、Proxy 和 Elasticsearch 至火山引擎云服务器（Elastic Compute Service，ECS），实现查询和分析日志服务数据的流程。

说明

使用 Kibana 检索日志正处于公测阶段。

工作原理

使用 Kibana 查询和分析日志服务中的数据，需要在客户端环境中部署 Kibana、Proxy 和 Elasticsearch，工作原理图如下：

说明如下：

服务	说明
Kibana	用于查询、分析和可视化展示日志服务数据。
Proxy	用于对 Kibana 的 API 请求进行路由。区分 Kibana 对 Meta 数据和日志服务 Elasticsearch 兼容接口的 API 请求。
Elasticsearch	用于存储 Kibana 的 Meta 数据。日志服务不支持更新 Kibana 的 Meta 信息，但 Meta 信息会经常更新，所以需要部署一个 Elasticsearch 专门用于存储 Kibana 的 Meta 数据。
Elasticsearch 兼容接口	火山引擎日志服务 TLS 提供的兼容 Elasticsearch API，用于实现与标准 Elasticsearch 查询协议的兼容，详情可参考日志服务兼容 Elasticsearch 接口。
TLS	火山引擎日志服务 TLS 是日志和 Trace 类数据的一站式服务平台，提供数据采集、存储、检索分析、加工、消费、投递、监控告警、可视化等功能，适用于业务运维监控、数据统计分析等场景。

前提条件

已创建日志项目和日志主题。
检索日志之前，必须先开启索引，详情可参考配置索引。
已创建 IAM 角色，获取 Access Key ID、Secret Access Key。并为用户授予日志主题查询权限，详情可参考IAM 概述。
已准备好用于环境部署的云服务器 ECS，详情可参考快速购买实例。

1 部署环境

部署 Elasticsearch

sudo mkdir /data  # Elasticsearch数据的存储目录, 请根据实际情况修改。
sudo chmod 777 /data # 配置权限。

sudo docker run -d --name es -p 9200:9200 \
           -e "discovery.type=single-node" \
           -e "ES_JAVA_OPTS=-Xms512M -Xmx512M" \
           -e ELASTIC_USERNAME=elastic \
           -e ELASTIC_PASSWORD=passwd \
           -e xpack.security.enabled=true \
           -v /data:/usr/share/elasticsearch/data \
           docker.elastic.co/elasticsearch/elasticsearch:7.17.26

ELASTIC_USERNAME：访问 Elasticsearch 的账户名。
ELASTIC_PASSWORD：访问 Elasticsearch 的账户名密码。

部署 proxy

docker pull tls-image-cn-shanghai.cr.volces.com/public/kproxy:1.0.9
docker run  -d --name proxy \
            -e ES_ENDPOINT={es_hosts}:{es_port} \
            -e TLS_ENDPOINT=http://{tls_endpoint}/es/ \
            -e TLS_PROJECT={tls_project} \
            -e TLS_ACCESS_KEY_ID={user_ak} \
            -e TLS_ACCESS_KEY_SECRET={user_sk} \
            -p 9201:9201 \
            -ti tls-image-cn-shanghai.cr.volces.com/public/kproxy:1.0.9

TLS_ENDPOINT：日志服务的服务地址，可参考服务地址列表获取。
TLS_PROJECT：日志服务的日志项目 ID，可参考日志项目获取。
TLS_ACCESS_KEY_ID：具备查询日志服务日志主题权限用户的 Access Key ID，可参考 API 访问密钥管理获取。
TLS_ACCESS_KEY_SECRET：具备查询日志服务日志主题权限用户的 Secret Access Key，可参考 API 访问密钥管理获取。

部署 kibana

docker run -d --name kibana \
            -e ELASTICSEARCH_HOSTS=http://ELASTICSEARCH_HOSTS:9201 \
            -e ELASTICSEARCH_USERNAME=elastic \
            -e ELASTICSEARCH_PASSWORD=passwd \
            -e XPACK_MONITORING_UI_CONTAINER_ELASTICSEARCH_ENABLED=true \
            -p 5601:5601 \
            docker.elastic.co/kibana/kibana:7.17.26

ELASTICSEARCH_HOSTS：部署 Elasticsearch 的物理机 IP 地址。
ELASTICSEARCH_USERNAME：访问 Elasticsearch 的账户名，使用在部署 Elasticsearch中设置的账户名。
ELASTICSEARCH_PASSWORD：访问 Elasticsearch 的账户名密码。

2 访问Kibana

在左侧导航栏中，选择 Management > Stack Management。
在左侧导航栏中，选择 Kibana > Index Patterns。
单击 Create index pattern。
说明
首次使用时，根据界面提示，单击 create an index pattern against hidden or system indices。
输入相关设置，单击 Create index pattern。

QueryString 案例

使用精准匹配
查询更友好，更精准。
使用*通配符
会触发全文扫描，数据量大时会增加响应时间。