跳至主内容

仪表板

仪表板是可定制的可视化界面,用于展示来自日志源的实时或历史数据,使您能在集中位置监控、分析和可视化关键指标。仪表板由小组件构成,这些独立显示元素能以图表、图形、单值指标等形式展示聚合数据,或以日志消息表格形式呈现明细数据。更多信息请参阅 小组件 .

您创建的仪表板可自定义以适应使用场景。例如,可为以下任一目的创建仪表板:

  • 系统健康与性能:监控性能指标(CPU负载、内存、响应时间)以维护系统健康并快速解决问题。

  • 日志聚合与分析:整合分析多源日志,用于故障排查与合规审查。

  • 合规性报告:展示与合规相关的日志数据,便于审计追踪和标准遵循。

  • 用户行为追踪:监控访问日志和活动模式,发现未授权访问或异常行为。

  • 管理定制指标:展示关键指标(如运行时间和服务状态),为管理人员提供系统概览。

您还可以使用 安全数据湖 中的多个预置仪表板。例如, 安全数据湖 的Illuminate内容包 包含针对特定日志源和安全场景定制的仪表板。此外, 安全数据湖 安全模块提供 预配置的交互式仪表板 ,旨在帮助安全团队监控、检测和响应安全事件。 Graylog安全版

您还可以与关键利益相关者共享仪表板。详见 共享仪表板 章节。

本文指导您创建新仪表板并针对使用场景进行定制。我们还将介绍如何构建自动更新信息的仪表板,这些仪表板可与任何授权用户或用户组共享。

仪表板与保存搜索

虽然仪表板和保存搜索都能保存和展示数据子集,但它们的核心功能不同。仪表板是用于直观监控和展示数据的可视化工具,而 保存搜索 允许您保存特定搜索查询(包括所有配置的筛选条件、时间范围和参数),便于后续快速访问和重复执行。

但您可以为部件中显示的日志数据定义特定搜索条件。详见 部件文档中的部件搜索条件章节

注意

提示: 默认情况下,每个用户创建的仪表板顶部都会显示搜索栏。但它仅会临时覆盖部件特定的搜索以显示不同结果,不会修改部件的配置搜索条件。

创建新仪表板

请完成以下步骤创建自定义仪表板:

  1. 选择 仪表盘 顶部菜单中的选项卡。此页面列出您有权查看的所有仪表盘。

  2. 点击 创建新仪表盘 以新建一个空白仪表盘。

  3. 选择 另存为 .

  4. 在对话框中输入新仪表盘的描述信息。注意标题是唯一必填项。使用简短且独特的标题,以便其他用户能快速理解该仪表盘的内容。描述可以更详细,包含关于显示数据或数据收集方式的更多信息。

现在您可以为新建的仪表盘添加组件!有关创建和添加组件的详细信息,请参阅 组件 部分。

查看高级字段类型

节点、流、输入等高级字段类型在仪表盘中以可读标题(而非ID)显示。搜索时使用 id 参数,但默认显示为 标题 ,这使您能更清晰地分析搜索结果。有关字段类型管理的更多信息,请参见 字段类型 .

Sources - hovering1.png

请注意,若将鼠标悬停在搜索结果的标题上,仍可看到数字形式的 ID 。此外,在编写或编辑查询时, 标题ID 会同时显示以供参考。

注意

若修改 标题 参数,该更改将应用于所有仪表板。

将搜索导出为仪表板

前文已描述如何通过 仪表板 菜单创建仪表板,但您也可以将现有搜索迁移至仪表板。点击搜索栏右侧的三点图标并选择 导出到仪表板 选项。新创建的仪表板处于草稿状态。您需要点击草稿页面右上角的 另存为 按钮,才能永久创建该仪表板。

export as dashboard.png

共享仪表板

拥有 管理员 角色的用户可查看和编辑仪表板。默认情况下, 读者 角色无权查看或编辑 任何 仪表板。作为管理员,若要与特定用户或团队共享仪表板:

  1. 导航至 仪表板 .

  2. 找到需要添加权限的仪表板并点击 共享 .

  3. 从下拉菜单中选择用户或团队。点击 添加协作者 .

  4. 确认选择后点击 更新共享设置 .

查看 权限管理 以获取用户和团队在 安全数据湖 . 权限管理

sharing a dashboard.png

仪表盘使用案例

萨莉是一名系统管理员,她想为公司构建一个仪表盘。她希望添加 聚合组件 来显示公司日志源和名为Zirva的内部应用程序的信息。她的目标是创建一个可以向组织利益相关者展示的仪表盘,以便他们能更好地获取公司系统的实时信息。在创建并保存新仪表盘后,她决定为其添加多个组件。以下是她在每个组件上的操作步骤:

  • 萨莉希望查找并显示公司系统中最常出现的日志源。她将:

    1. 输入 * 作为搜索查询,并通过时间范围选择器将时间段设置为 1天

    2. 点击 创建 (+)按钮并选择 聚合 .

    3. 点击 编辑 以配置组件。

    4. 选择 数据表 作为可视化类型:

    5. 分组并选择 作为 字段 .

    6. 添加 计数 作为函数并选择 作为 指标 .

    7. 选择 count(source) .

    8. 点击 预览组件 查看结果

    9. 点击 更新组件 将组件保存至仪表盘

  • Sally想统计Zirva应用一天内的异常数量,她将:

    1. 输入 source:ZirvaANDException 作为搜索查询,并将时间范围设为 最近24小时 .

    2. 点击 创建 点击(+)按钮并选择 聚合 .

    3. 点击 编辑 以配置该组件。

    4. 可视化 设为 单数字

    5. 指标 设为 count() .

    6. 点击 更新组件 将其保存至仪表盘。

  • Sally想为Zirva创建响应时间图表,她将:

    1. 输入 source:Zirva 作为搜索查询并选择时间范围。

    2. 点击 创建 (+)按钮并选择 聚合 .

    3. 点击 编辑 以配置该组件。

    4. 可视化 设置为 单数字 .

    5. 指标 设为 avg(response_time) .

    6. 点击 更新组件 以保存至仪表板。

萨莉现在拥有一个综合仪表板,可显示与新公司应用程序相关的数据。

组件

安全数据湖 组件提供了强大的数据可视化方式,能创建有意义的 仪表板 。组件通过聚合数据(例如显示防火墙日志数据的组件)提供全新数据视角,让您直观获取过去24小时内系统入侵失败尝试的关键信息。这些以折线图或柱状图呈现的信息,助您快速掌握环境态势。

本文将探讨不同类型的组件、创建新组件的方法,以及如何配置组件以实现预期效果。

组件类型

主要有两种数据可视化组件可供选择:

预定义组件

组件支持 从零开始配置 ,也可直接使用预定义组件。这些组件自带预设指标,您可按需追加指标。以下是 搜索 页面侧边栏中可找到的预定义组件列表(通过点击 + 图标:

  • 日志视图 :以类似通用日志格式呈现日志数据,预定义了 时间戳 , 来源 消息 字段。

  • 消息计数:消息计数小部件显示在您确定的时间段内符合特定搜索条件的日志消息总数。该小部件通常用于监控日志量趋势并快速获取日志活动的高层次洞察。消息计数小部件预定义了 计数 功能和 单数字 可视化。

聚合小部件

聚合是对数据进行分组和组织后的集合,旨在为您提供关于数据的答案。这种方法使您能够专注于您想要了解的字段、功能或指标。

聚合小部件通过提供从不同角度组织、可视化和解释搜索结果的工具来增强这一过程。聚合小部件允许您对数据进行分组、应用指标并排序字段(例如升序或降序)以揭示有意义的洞察。例如,如果您想查看网站上哪个页面渲染时间最长,您可以对 took_ms 字段进行聚合并按降序排序结果以确定答案。

这些小部件支持诸如显示顶部值以快速发现数据以及各种可视化选项等功能,使数据更加清晰。它们在仪表板中特别有用,可以在同一页面上并排比较多个查询。

消息表小部件

消息表小部件显示消息及其字段。下面您可以看到一个消息表小部件,显示带有 时间戳 来源 字段的消息。这些小部件允许对单个消息进行更细致的检查。消息级搜索对于调查和任何需要详细信息的情况至关重要。

您还可以通过点击消息行查看消息及其所有字段的详细视图。消息中的所有字段都可以通过配置菜单添加为表格中的列。

message table with details.png

创建新小部件

您可以在运行搜索后创建新小部件。由于小部件是特定数据集的视觉表示,您可以通过执行对该特定数据集的搜索来定义要在小部件中查看的数据。成功执行搜索并根据需要定义任何过滤器和参数后,完成以下步骤以在搜索页面上创建新小部件:

  1. 点击 创建 + 在侧边栏中。

  2. 根据所需的部件输出选择以下选项之一:

  • 通用 :添加一个空的聚合部件。

    注意

    请注意,参数是 通用 类别下的一个选项,但这仅指向搜索中添加参数,并非部件类型。

  • 预定义聚合 :从 日志视图 , 消息表 或消息计数中选择。

  • 事件概览 :添加一个显示所有事件和事件定义的部件。此部件带有默认列和排序,可通过配置菜单进行修改。

  • 调查概览 :添加一个包含所有活动警报和调查的部件。此部件带有默认列和排序,可通过配置菜单进行修改。

默认情况下,从搜索页面创建新部件会将该部件添加到搜索页面。这对于临时可视化搜索结果或希望将部件保留在搜索页面上很有帮助。最终,部件在添加到仪表板时最为有用且易于共享。要将部件添加到仪表板,请从部件的下拉菜单中选择 复制到仪表板 并选择适当的仪表板。有关仪表板的更多信息,请参阅 仪表板 文档。

配置部件

创建新部件后,点击部件右上角的铅笔图标以修改其可配置属性。根据为部件选择的可视化类型,将有许多可用设置:

小组件专属搜索条件

小组件专属搜索条件是指应用于日志的搜索查询、参数和筛选器,用于确定小组件将显示的特定日志数据集。

在您所选特定仪表板小组件的配置菜单中,顶部会出现一个搜索栏。您可以在此处运行查询以获取将包含在小组件中的数据。此外,您还可以根据需要对此查询应用搜索筛选器和搜索参数。

注意

请注意,默认情况下每个用户创建的仪表板顶部也会显示搜索栏。但它仅会临时覆盖小组件专属搜索以显示搜索时的不同结果,并不会更改小组件配置的搜索条件。

分组依据

此选项允许您按行和列对图表进行分组。字段的数据点将聚合到所选行或列中。例如, avg() 函数可以计算 took_ms 列中数值数据点的平均值。

当您使用 分组依据 创建新分组时,所选值将汇总到结果中。该结果可通过多种方式呈现,如表格、图表或颜色编码。

例如,若字段 timestamp 归属于某一行,则会将数据点划分为时间间隔。否则默认情况下聚合将选取所选字段的最多十五个元素,并对数据点应用所选 指标 函数。若将 timestampavg() 函数聚合于 took_ms 列,则该列操作将给出每5分钟内每个动作的页面平均加载时间。

注意

对于某些字段类型选择,您可以调整单位设置以确定显示中使用的度量单位。有关调整单位设置的更多信息,请参阅 使用值和字段操作菜单修改部件 单位设置 .

指标

指标是帮助您找到答案的规范或定量测量;它们通过将数据置于上下文中,帮助您更详细地了解数据。指标可以告诉您下载页面的平均时间,或者比较几个国家的销售额。

可以通过在小部件配置模态的下拉菜单中选择一个函数和一个要聚合的字段来确定指标。您可以使用指标来获取数值结果。例如, 总和 计算给定时间内所有匹配消息的字节数。如果您有一个按时间组织的条形图,它将让您了解在定义的时间段内有多少数据被推送到存储中。

注意

对于某些指标字段类型选择,您可以调整单位设置以确定显示中使用的度量单位。有关调整单位设置的更多信息,请参阅 使用值和字段操作菜单修改部件 单位设置 .

百分比指标

百分比指标有助于以百分比形式显示结果,而不是原始数字。在某些情况下,百分比更容易阅读,并能更好地洞察结果。结果可以在条形图、饼图和消息表中以百分比表示。要应用百分比指标,请在配置菜单中的 函数 字段中选择 百分比 .

为了理解百分比指标的应用,我们可以看一个用例。在这个例子中,分析师想要了解哪些控制器接收的调用最多,以及它们之间的差异有多大。他们可以通过查看图表中控制器调用百分比的比较来快速得出结论,如下所示。在这里, 计数 指标显示了从三个不同消息控制器接收到的消息数量。

percentage use case 1.png
百分位数指标

百分位数指标有助于显示某个值与总数相比的百分位数或相对位置。要应用百分比指标,请在配置菜单中的 函数 字段中选择 百分位数 作为函数。随后您可以从下拉菜单中选择所需字段及百分位数值。

我们还可以通过用例来突显百分位数指标的价值。本例中,一位分析师拥有一个网络服务器应用,该应用将响应时间作为GELF消息上报至 安全数据湖 。他们希望了解该应用第90、95和99百分位的响应时间,这些响应时间可视为正常范围。

percentile use case 1.png

排序与方向

本部分可配置结果值的排序顺序。 排序 用于定义数据排序所依据的字段,而 方向 则决定升序或降序排列。

  • 插值方式: 面积图和折线图支持不同的插值类型。插值是指在两个数据点之间进行推算的操作。您可通过在 可视化 : 线性 , 阶梯后 样条 .

  • 事件标注: 所有能显示时间轴的可视化图表(如面积图、柱状图、折线图、散点图)均支持事件标注。每个事件将作为时间轴上的一个条目显示。

可视化

图表视图通常能更便捷地比较大量结果。例如,图表可清晰显示网络流量中的突发高峰。此类可视化展示能有效吸引注意力,帮助分析师快速发现并响应这些事件。

安全数据湖 提供多种可视化类型,如面积图、柱状图、热力图和世界地图。请根据所处理的数据类型选择可视化形式。

注意

世界地图需要以经纬度形式提供地理坐标点。若选择热力图进行可视化,则需提供x和y值。

visualization sample.png

装饰器

装饰器允许您在保留未修改消息的同时更改消息字段,从而可以改变字段在小部件中的显示方式。装饰器在提升字段数据可读性、合并字段数据或添加包含消息更多信息的新字段时尤为实用。

详见 装饰器 文档。

过滤器

过滤器配置选项适用于事件概览和调查概览小部件。此选项不同于可在小部件特定搜索条件中修改的搜索过滤器,而是指进一步筛选这些部件中数据的特定方式。例如,可按负责人筛选调查,或按事件定义筛选事件。

使用值和字段操作菜单修改小部件

值操作菜单和字段操作菜单支持快速执行操作,例如从所有表格中移除字段,或创建包含数据表中所有字段值的新部件。您还可以选择在所有数据表中高亮显示字段值。点击部件内的值或字段时,将出现下拉菜单,点击即可执行任何显示的操作。完整可用字段和值操作列表如下。

字段操作

当选择字段名称(非其值)时,会根据字段类型和位置显示不同的字段操作。

  • 图表: 生成包含折线图的新部件,显示该字段随时间变化的平均值。此图表可作为更精确聚合的起点,仅适用于数值型字段。

  • 显示最高值: 此操作将生成包含数据表的新部件,字段值按行列出,旁边显示出现次数。

  • 统计: 根据字段类型对字段值执行不同统计函数,结果将显示在数据表中。

  • 添加到当前表: 将该字段添加至显示 字段操作 菜单的消息表可见字段中。

  • 添加到所有表: 将该字段添加至所有表格的可见字段中。

  • 从当前表移除: 从本表可见字段列表中移除此字段。

  • 从所有表移除: 从所有表格的可见字段列表中移除此字段。

  • 复制字段名到剪贴板: 将字段名称复制到剪贴板。

  • 更改字段类型: 更改特定字段的字段类型。

值操作

值操作根据值的类型和菜单打开位置产生不同结果。可执行以下操作:

  • 插入到仪表板/搜索: 将值传递到选定的仪表板或已保存搜索中作为参数使用。

  • 从结果中排除: 将添加到查询中以排除字段包含该值操作值的所有结果。

  • 添加到查询: 将添加 NOT字段:值 到查询中,额外筛选出字段具有该值操作值的记录。

  • 用于新查询: 添加字段:值 并打开带有查询字符串的新视图标签页。

  • 显示该值的文档: 此功能在数据表中可用。将显示被聚合以呈现该值的文档。

  • 高亮此值: 此操作将在所有消息表和数据表中高亮该字段的此值。

  • 创建事件定义: 基于该值创建事件定义。详见 直接从搜索结果创建事件定义

确定单位设置

单位类型决定提供的单位选项。若选择 大小 作为字段类型,将显示字节、千字节和兆字节等尺寸单位。多数数值字段和度量函数都支持单位设置配置选项。

注意

内部字段(如 gl2_ 前缀字段)会显示预定义单位的图标。仅当确定预定义单位错误或不想在小工具中查看单位值时方可修改。

每种选定的单位类型均以一条坐标轴表示。具有相同单位类型的多个字段可显示在同一坐标轴上。若您选择查看一个单位类型为 大小 的字段及另一个单位类型为 时间 的字段,则会为每种单位类型各显示一条坐标轴。共有四种可用坐标轴:数值、大小、时间及百分比。

安全数据湖 会为大多数可视化类型转换单位。当您将鼠标悬停在部件显示中的数值上时,可看到转换后的单位值。使用 数据表 时,点击转换值右侧的下拉箭头即可查看原始字段单位值。

下图中的字段值按单位类型分组。 模式 堆叠 ,因此两个具有相同单位类型的字段会彼此堆叠显示。若选择 叠加 ,则会看到一个字段层叠在另一个字段之上。

stacked visualization.png

注意

热图仅适用于具有相同单位类型的字段。由于此类可视化采用单一标度,因此无法区分不同单位类型。

修改字段单位设置

如需修改字段单位设置:

  1. 点击 编辑 图标(铅笔),该图标位于部件右上角。

  2. 在部件配置菜单中找到目标字段。

  3. 点击目标字段右侧的图标。

  4. 在弹出的模态窗口中选择单位类型及具体单位。

  5. 点击 更新预览 可预览您所做的更改。

  6. 点击 更新组件 .

您现在可以在组件显示中查看转换后的数值。

检查字段单位值

安全数据湖 会将字段单位值转换为最适合组件视图的形式呈现。搜索结果可能包含不易理解或显示的字段单位值信息。 安全数据湖 会格式化大数字或多位数数字以提高可读性。例如,若 ingest_time 设置为纳秒, 安全数据湖 会将该值转换为秒以生成易读数字。 安全数据湖 还会默认将字段单位值修改为仅显示一位小数。

注意

组件视图中的单位可能与原始单位不同。这是因为 安全数据湖 会将单位转换为最适合组件显示的格式。

安全数据湖 转换字段单位值以实现字段间的精确比较。某些情况下,组件可能包含相同类型(如容量)但不同单位(如千字节与兆字节)的多个字段。 安全数据湖 会格式化这些数值以确保在相同单位字段间进行比较。

管理组件

点击右上角箭头可复制或删除组件。您还可以通过勾选 复制到仪表板 复选框,将组件添加到现有仪表板列表或放置到新仪表板中。

组件可自由放置在搜索结果网格内。通过点击并按住组件名称左侧的三条横线进行拖放,使用右下角的灰色箭头调整大小。点击右上角箭头可将组件扩展至全网格宽度。

若需扩展 日志视图 组件中聚合数据的显示范围,请参阅 日志视图小部件 .

日志视图小部件

日志视图是一种以类似通用日志格式呈现日志数据的小部件,其显示风格类似控制台界面。该部件支持实时滚动查看不断新增的日志事件。

日志视图小部件提供以下日志事件调查功能:

  • 记录故障以进行诊断和调试

  • 识别安全漏洞及其他系统与网络滥用行为

  • 执行审计

该部件支持创建高度可定制的报告和信息图表,可将报告添加至仪表板,并能保存和调取历史报告数据。您可添加新数值、字段和指标来构建符合需求的报告。

注意

安全数据湖 开放版本仅限CSV格式导出(详见 导出搜索结果 ),但企业版额外支持PDF、GELF(换行分隔)、JSON、NDJSON(换行分隔JSON)及纯文本格式。

创建日志视图小部件

日志视图小部件选项位于左侧可扩展栏。创建步骤如下:

  1. 点击 创建 (+)按钮展开菜单

  2. 选择 日志视图 在主界面生成部件

6.1 log view widget.png

默认情况下, 时间戳 , 来源消息 字段以纯文本格式呈现

向报告添加新字段

您可添加新字段以构建更详尽的报告。例如,可能需要关联网站company.org与响应代码之间的活动。

  1. 点击日志行右侧的对角箭头图标。

  2. 查看并选择一个或多个选项,例如 https_response_code .

  3. 点击 保存并关闭 .

或通过配置模态框添加新字段:

  1. 点击部件右上角的铅笔图标。

  2. 找到 字段选择与排序 并点击下拉箭头,或输入数值。

  3. 点击 更新部件 以保存所有编辑。

聚焦部件

在主日志视图界面中找到 聚焦此部件 图标。点击可将部件扩展至全屏视图。

构建含可共享数据的仪表板

本节将确定最适合您消息传递工作的格式,并下载报告。例如,您可能需要传递:

  • 纯文本数据给同事进行分析(如 日志文件/纯文本 ).

  • 数据至基于JavaScript构建的日志库(如 JSON ).

  • 结构化数据对象至TCP或UNIX管道(如 NDJSON ).

如果已配置,您可以在上述创建的仪表板中使用 创建日志视图小部件 部分。

按照以下步骤操作:

  1. 点击V形图标以访问 操作 菜单。

  2. 点击向下箭头以打开对话框。

  3. 选择输出格式。

  4. 找到 要导出的字段 部分,并在 向报告添加新字段 .

  5. 点击时钟图标配置绝对日期范围。格式显示为yyyy-MMM-dd HH:mm:ss.SSS。

  6. 消息限制 (可选)

  7. 点击 开始下载 .

本节内容 :