跳至主内容

仪表板

仪表板是可定制的可视化界面,用于展示来自日志源的实时或历史数据,使您能在集中位置监控、分析和可视化关键指标。仪表板由小组件构成,这些独立显示元素能以图表、图形、单值指标等形式呈现聚合数据,或以日志消息表格形式展示明细数据。更多信息请参阅 小组件 .

您创建的仪表板可自定义以适应使用场景。例如,可为以下任一目的创建仪表板:

  • 系统健康与性能:监控性能指标(CPU负载、内存、响应时间)以维护系统健康并快速解决问题。

  • 日志聚合与分析:整合分析多源日志,便于故障排查与合规管理。

  • 合规报告:展示合规相关日志数据,简化审计追踪与标准遵循。

  • 用户行为追踪:监控访问日志与活动模式,识别未授权访问或异常行为。

  • 管理定制指标:展示运行时间、服务健康等关键指标,为管理者提供系统概览。

您还可直接使用 安全数据湖 例如, 安全数据湖 Illuminate内容包 包含针对特定日志源和安全用例定制的仪表板。此外, 安全数据湖 安全模块提供 预配置的交互式仪表板 旨在帮助安全团队监控、检测和响应安全事件。 Graylog安全

您还可以与关键利益相关者共享仪表板。详见 共享仪表板 章节获取更多信息。

本文指导您完成创建新仪表板并根据用例进行定制的流程。此外,我们还介绍如何构建包含自动更新信息的仪表板,这些仪表板可与任何授权用户或用户组共享。

仪表板与保存搜索对比

虽然仪表板和保存搜索都是保存和显示数据子集的方式,但它们的根本目的不同。仪表板是用于一目了然地监控和呈现数据的可视化工具。而 保存搜索 允许您保存特定的搜索查询(包括所有配置的筛选条件、时间范围和参数),以便后续轻松访问和重新执行这些搜索。

不过,您可以为部件中显示的日志数据定义特定搜索条件。详见 部件文档中的部件搜索条件章节 获取详细信息。

注意

提示: 请注意,默认情况下每个用户创建的仪表板顶部也会显示搜索栏。但它仅临时覆盖部件特定的搜索以显示不同的搜索结果,并不会修改部件配置的底层搜索条件。

创建新仪表板

请按以下步骤创建新的自定义仪表板:

  1. 点击顶部菜单中的 仪表板 选项卡,该页面将列出您有权查看的所有仪表板。

  2. 选择 创建新仪表板 以创建一个新的空白仪表板。

  3. 选择 另存为 .

  4. 在对话框中输入新仪表板的描述性信息。注意标题是唯一必填项。使用简短且独特的标题,以便其他用户能轻松理解该仪表板的内容。描述可以更长,包含关于显示数据或数据收集方式的更详细信息。

现在您可以为新创建的仪表板添加部件了!有关创建和添加部件的更多信息,请参阅 部件

查看高级字段类型

节点、流和输入等高级字段类型在仪表板中显示为可读标题而非ID。搜索使用 id 参数执行,但默认显示为 标题 ,这使您能更清晰地分析搜索结果。有关字段类型管理的更多信息,请参阅 字段类型 .

Sources - hovering1.png

请注意,如果您将鼠标悬停在搜索结果的标题上,仍可看到数字 ID 。此外,在编写或编辑查询时, 标题ID 都会显示以供参考。

注意

如果您更改 标题 参数,该更改将应用于所有仪表板。

将搜索导出为仪表板

前文描述了如何从 仪表板 菜单,但您也可以将现有搜索移至仪表板。点击搜索栏右侧的三个点,选择 导出到仪表板 选项。新创建的仪表板为草稿状态。您需要点击 另存为 按钮(位于草稿页面右上角)以永久创建该仪表板。

export as dashboard.png

共享仪表板

任何拥有 管理员 角色的用户均可查看和编辑仪表板。默认情况下, 读者 角色无权查看或编辑 任何 仪表板。作为管理员,若要与特定用户或团队共享仪表板:

  1. 导航至 仪表板 .

  2. 找到需要添加权限的仪表板并点击 共享 .

  3. 从下拉菜单中选择用户或团队。点击 添加协作者 .

  4. 确认选择后点击 更新共享设置 .

参阅 权限管理 以获取用户和团队在 安全数据湖 . 权限管理

sharing a dashboard.png

仪表盘使用案例

萨莉是一名系统管理员,她想为公司构建一个仪表盘。她希望添加 聚合组件 来展示公司日志源及名为Zirva的内部应用程序的信息。她的目标是创建一个可以向组织利益相关者展示的仪表盘,以便他们能更好地获取公司系统的实时信息。在创建并保存新仪表盘后,她决定为其添加多个组件。以下是她在每个组件上的操作步骤:

  • 萨莉希望查找并展示公司系统中出现频率最高的日志源。她将:

    1. 输入 * 作为搜索查询,并通过时间范围选择器将时间范围设置为 1天

    2. 点击 创建 (+)按钮并选择 聚合 .

    3. 点击 编辑 以配置组件。

    4. 选择 数据表 作为可视化类型:

    5. 分组并选择 来源 作为 字段 .

    6. 添加 计数 作为函数, 作为 指标 .

    7. 选择 count(source) 作为 .

    8. 点击 预览组件 查看结果。

    9. 点击 更新组件 将组件保存到仪表盘。

  • Sally想统计Zirva应用在一天内的异常数量,她将:

    1. 输入 source:ZirvaANDException 作为搜索查询,并将时间范围设置为 最近24小时 .

    2. 点击 创建 (+)按钮并选择 聚合 .

    3. 点击 编辑 配置该小组件。

    4. 可视化方式 设为 单数值

    5. 指标 设为 count() .

    6. 点击 更新小组件 以保存至仪表盘。

  • Sally想为Zirva创建响应时间图表,她将:

    1. 输入 source:Zirva 作为搜索查询并选择时间范围。

    2. 点击 创建 (+)按钮并选择 聚合 .

    3. 点击 编辑 配置该小组件。

    4. 可视化方式 设为 单数值 .

    5. 指标 设置为 avg(response_time) .

    6. 点击 更新组件 将其保存至仪表板。

萨莉现在拥有一个综合性仪表板,可显示与新公司应用程序相关的数据。

组件

安全数据湖 组件提供了强大的数据可视化方式,能创建具有意义的 仪表板 。组件通过聚合数据(例如显示防火墙日志数据的组件,可提供过去24小时内系统渗透失败尝试的重要信息)为数据提供全新视角。这些以折线图或柱状图呈现的信息,能让您快速掌握环境状况。

本文将探讨不同类型的组件、如何创建新组件,以及如何配置组件以实现预期效果。

组件类型

您可通过两种主要组件类型实现数据可视化:

预定义组件

组件可以 从头开始配置 ,也可选择使用预定义组件。这些组件自带预设指标,您可选择性地进行补充。以下是 搜索 页面侧边栏中点击 + 图标可见的预定义组件列表:

  • 日志视图 :以类似通用日志格式呈现带 时间戳 , 来源 消息 字段已预定义。

  • 消息计数:消息计数小部件显示在您确定的时间段内符合特定搜索条件的日志消息总数。该小部件通常用于监控日志量趋势,并快速获取日志活动的高层概览。消息计数小部件预定义了 计数 功能和 单数字 可视化。

聚合小部件

聚合是将数据分组并组织成有意义集合的过程,旨在回答您对数据提出的问题。这种方法使您能够专注于想要深入了解的字段、功能或指标。

聚合小部件通过提供从不同角度组织、可视化和解释搜索结果的工具来增强这一过程。聚合小部件允许您对数据进行分组、应用指标并排序字段(例如升序或降序),以揭示有意义的洞察。例如,如果您想查看网站上哪个页面渲染时间最长,可以对 耗时毫秒 字段进行聚合,并按降序排序结果以确定答案。

这些小部件支持诸如显示最高值以快速发现数据,以及多种可视化选项以使数据更清晰的功能。它们在仪表板中特别有用,支持在同一页面上对多个查询进行并排比较。

消息表格小部件

消息表格小部件显示消息及其字段。下方是一个消息表格小部件,显示带有 时间戳 来源 字段的消息。这些小部件允许对单个消息进行更细致的检查。消息级搜索对于调查和任何需要详细信息的情况至关重要。

您还可以通过点击消息行查看包含所有字段的消息详细视图。消息中的所有字段都可以通过配置菜单添加为表格中的列。

message table with details.png

创建新小部件

您可以在运行搜索后创建新小部件。由于小部件是特定数据集的视觉表示,您通过执行对该特定数据集的搜索来定义要在小部件中查看的数据。成功执行搜索并根据需要定义任何过滤器和参数后,完成以下步骤以在搜索页面上创建新小部件:

  1. 点击 创建 + 在侧边栏中。

  2. 根据您期望的小部件输出选择以下选项之一:

  • 通用型 : 添加一个空聚合组件。

    注意

    请注意参数是 通用型 分类下的选项,但这仅指为搜索添加参数,并非组件类型。

  • 预定义聚合 : 从 日志视图 , 消息表格 或消息计数中选择。

  • 事件概览 : 添加显示所有事件及事件定义的组件。该组件自带默认列与排序,可通过配置菜单修改。

  • 调查概览 : 添加包含所有活跃告警与调查的组件。该组件自带默认列与排序,可通过配置菜单修改。

默认情况下,从搜索页面创建新组件会将该组件显示在搜索页面。这便于临时可视化搜索结果或保留组件在搜索页面上。但组件添加到仪表板后最能发挥效用且便于共享。要将组件添加至仪表板,请从组件下拉菜单中选择 复制到仪表板 并选择对应仪表板。关于仪表板的更多信息,请参阅 仪表板 文档。

配置组件

创建新组件后,点击组件右上角的铅笔图标可修改其可配置属性。根据所选可视化类型,您将看到以下设置选项:

部件专用搜索条件

部件专用搜索条件是指应用于日志的搜索查询、参数和筛选器,用于确定部件将显示的特定日志数据集。

在您选择的特定仪表板部件的配置菜单中,顶部会出现一个搜索栏。您可以在此处运行查询以获取将包含在部件中的数据。此外,您还可以根据需要对此查询应用搜索筛选器和搜索参数。

注意

请注意,默认情况下,每个用户创建的仪表板顶部也会显示一个搜索栏。但它仅会临时覆盖部件专用搜索,以在搜索时显示不同的结果。它不会更改部件配置所依据的搜索条件。

分组依据

此选项允许您按行和列对图表进行分组。字段的数据点将聚合到选定的行或列中。例如, avg() 函数可以计算 took_ms 列中数值数据点的平均值。

当您使用 分组依据 创建新组时,您选择的值将汇总到结果中。此结果可以以多种方式呈现,如表格、图表或颜色编码。

例如,如果字段 timestamp 归属于某一行,它将数据点划分为时间间隔。否则,默认情况下聚合将选取所选字段的最多十五个元素,并对数据点应用选定的 指标 函数。如果 timestampavg()took_ms 上聚合,列操作将给出每5分钟内每个操作的页面平均加载时间。

注意

对于某些字段类型选择,您可能可以调整单位设置以确定显示中使用的度量单位。有关调整单位设置的更多信息,请参阅 使用值和字段操作菜单修改部件 单位设置 .

指标

指标是帮助您寻找答案的规格或量化测量;它们通过将数据置于上下文中,帮助您更详细地了解数据。一个指标可以告诉您下载页面的平均时间,或者比较几个国家的销售额。

可以通过在小部件配置模态框的下拉菜单中选择函数和聚合字段来确定指标。您可以使用指标来获取数值结果。例如, 总和 会计算给定时间内所有匹配消息的字节数。如果您有一个按时间组织的条形图,它将让您了解在定义的时间段内有多少数据被推送到存储中。

注意

对于某些指标字段类型的选择,您可能可以调整单位设置以确定显示中使用的度量单位。有关调整单位设置的更多信息,请参阅 使用值和字段操作菜单修改小部件 单位设置 .

百分比指标

百分比指标有助于以百分比形式显示结果,而不是原始数字。在某些情况下,百分比更容易阅读,并能更好地洞察结果。结果可以在条形图、饼图和消息表中以百分比表示。要应用百分比指标,请在配置菜单中的 函数 字段中选择 百分比 .

为了理解百分比指标的应用,我们可以看一个用例。在这个例子中,分析师希望了解哪些控制器接收的呼叫最多,以及它们之间的差异有多大。他们可以通过查看控制器呼叫百分比的比较图表(如下所示)快速得出结论。在这里, 计数 指标显示了从三个不同消息控制器接收到的消息数量。

percentage use case 1.png
百分位数指标

百分位数指标有助于显示某个值与总数相比的百分位数或相对位置。要应用百分位数指标,请在配置菜单中的 函数 字段中选择 百分位数 作为函数。然后您可以从下拉菜单中选择您要查找的字段以及一个百分位数值。

我们还可以看一个用例来突出百分位数指标的价值。在这个例子中,分析师有一个Web服务器应用程序,它将其响应时间报告为GELF消息,并由 安全数据湖 摄取。他们希望了解应用程序的第90、95和99百分位响应时间。这些响应时间可以被视为正常范围。

percentile use case 1.png

排序与方向

本部分可配置结果值的排序顺序。 排序 用于定义数据排序所依据的字段,而 方向 则决定升序或降序排列。

  • 插值方式: 面积图与折线图支持不同的插值类型。插值是指在两个数据点之间进行推算的动作。您可通过在 可视化 : 线性 , 阶梯后 以及 样条 .

  • 事件标注: 所有能显示时间轴的可视化图表(如面积图、柱状图、折线图、散点图)均支持事件标注。每个事件将作为时间轴上的一个条目显示。

可视化

图表视图通常能更便捷地比较大量结果。例如图表可清晰展现网络流量中的突发高峰。此类可视化展示能有效吸引注意,帮助分析人员快速发现并响应这些事件。

安全数据湖 提供多种可视化类型,如面积图、柱状图、热力图和世界地图。请根据所处理的数据类型选择可视化形式。

注意

世界地图需要经纬度形式的地理坐标点。若选择热力图进行可视化,则需提供x和y值。

visualization sample.png

装饰器

装饰器允许您在保留原始消息的同时修改字段显示方式,从而改变部件中消息字段的呈现形式。该功能特别适用于提升字段数据可读性、合并字段数据,或添加包含消息补充信息的新字段。

详见 装饰器 相关文档。

筛选器

筛选器配置选项适用于事件概览和调查概览组件。该选项并非指搜索筛选器(后者可在组件特定搜索条件中修改),而是指您可用来进一步筛选这些组件中展示数据的特定方式。例如,您可以选择按分配人筛选调查,或按事件定义筛选事件。

通过值和字段操作菜单修改组件

值操作菜单和字段操作菜单允许您执行快捷操作,例如从所有表格中移除字段,或创建包含数据表中所有字段值的新组件。您还可以选择高亮显示所有数据表中的字段值。当点击组件内的值或字段时,将出现下拉菜单。通过点击即可执行任何显示的操作。完整字段和值操作列表请参阅下文。

字段操作

当选择字段名称(而非其值)时,系统会根据字段类型和位置显示不同的字段操作选项。

  • 图表: 此操作将生成包含折线图的新组件,其中显示该字段随时间变化的平均值。该图表可作为更精确聚合分析的起点。仅适用于数值型字段。

  • 显示高频值: 此操作将生成包含数据表的新组件,其中以行形式列出字段值,并在旁边显示出现次数。

  • 统计: 此处根据字段类型对字段值执行各类统计函数运算,结果将显示在数据表中。

  • 添加到当前表格: 将该字段添加至显示 字段操作 菜单所在消息表的展示字段中。

  • 添加到所有表格: 将该字段添加至所有表格的展示字段中。

  • 从当前表格移除: 从本表格的展示字段列表中移除该字段。

  • 从所有表格移除: 从所有表格的展示字段列表中移除该字段。

  • 复制字段名到剪贴板: 将字段名称复制到剪贴板。

  • 更改字段类型: 更改特定字段的字段类型。

值操作

值操作根据值类型及菜单打开位置产生不同结果。可执行以下操作:

  • 插入到仪表板/搜索: 将值传递至选定仪表板或已保存搜索,并作为参数使用。

  • 从结果中排除: 将添加到查询中,以排除字段包含该值操作值的所有结果。

  • 添加到查询: 将添加 NOT字段:值 到查询中,以进一步筛选字段具有该值操作值的结果。

  • 用于新查询: 添加字段:值 并打开一个带有查询字符串的新视图标签页。

  • 显示该值的文档: 此功能在数据表中可用。它将显示被聚合以呈现该值的文档。

  • 高亮此值: 此操作将在所有消息表和数据表中高亮此字段的该值。

  • 创建事件定义: 基于该值创建事件定义。详见 直接从搜索结果创建事件定义

确定单位设置

单位类型决定了提供的单位选项。如果选择 大小 作为字段类型,则会显示字节、千字节和兆字节等大小单位。单位设置配置选项适用于大多数数字字段和度量函数。

注意

对于内部字段(如 gl2_ 前缀字段),会显示预定义单位的图标。仅当确定预定义单位不正确或不想在小部件中查看单位值时,才修改预定义单位。

每个选定的单位类型都用一个轴表示。具有相同单位类型的多个字段可以显示在同一轴上。如果选择查看单位类型为 大小 的字段和另一个单位类型为 时间 的字段,则会为每种单位类型显示一个轴。共有四种可用轴:数字、大小、时间和百分比。

安全数据湖 为大多数可视化类型转换单位。当您将鼠标悬停在部件显示中的数值上时,会看到转换后的单位值。使用 数据表 时,点击转换值右侧的下拉箭头即可查看原始字段单位值。

下图展示了按单位类型分组的字段值。 模式 堆叠 ,因此两个相同单位类型的字段会上下堆叠显示。若选择 叠加 ,则会看到一个字段层叠在另一个之上。

stacked visualization.png

注意

热图仅适用于具有相同单位类型的字段。此类可视化使用单一标尺,因此无法区分不同单位类型。

修改字段单位设置

如需修改字段单位设置:

  1. 点击 编辑 图标(铅笔),位于部件右上角。

  2. 在部件配置菜单中找到目标字段。

  3. 点击目标字段右侧的图标。

  4. 在弹出的模态窗口中选择单位类型及单位。

  5. 点击 更新预览 可预览更改效果。

  6. 点击 更新部件 .

现在您可以在部件显示中查看转换后的值。

检查字段单位值

安全数据湖 将字段单位值转换为在小部件视图中显示最佳结果。搜索结果可能包含不易理解或显示的字段单位值信息。 安全数据湖 会格式化大数字或多位数数字以提升可读性。例如,若 ingest_time 设置为纳秒, 安全数据湖 会将该值转换为秒以生成易读数字。 安全数据湖 还会默认将字段单位值修改为仅显示一位小数。

注意

小部件视图中的单位可能与原始单位不同,这是因为 安全数据湖 会将单位转换为最适合小部件显示的格式。

安全数据湖 通过转换字段单位值实现字段间的精确比较。某些情况下,一个小部件可能包含相同单位类型(如大小)但不同单位(如千字节和兆字节)的多个字段。 安全数据湖 会格式化这些值以确保在相同单位字段间进行比较。

管理小部件

点击右上角箭头可复制或删除小部件。您还可以通过勾选 复制到仪表板 复选框,将小部件添加到现有仪表板列表或放置到新仪表板中。

小部件可自由放置在搜索结果网格内。通过点击并按住小部件名称左侧的三条线可拖拽移动,使用右下角的灰色箭头可调整尺寸。点击右上角箭头可将小部件扩展至全网格宽度。

如需在 日志视图 小部件中展开聚合数据视图,请参阅 日志视图小部件 .

日志视图小部件

日志视图是一种以类似通用日志格式和控制台显示的样式呈现日志数据的小部件。该部件支持实时滚动查看不断新增的日志事件。

日志视图小部件提供调查日志事件的功能,您可以:

  • 记录故障以进行诊断和调试。

  • 识别安全漏洞及其他系统和网络滥用行为。

  • 执行审计。

日志视图组件支持创建高度可定制的报告和信息图表,可将报告添加到仪表板,并能在需要复查数据时保存和检索报告。您可添加新数值、字段和指标来构建符合需求的报告。

注意

安全数据湖 开放格式仅限于CSV导出,具体说明见 导出搜索结果 。但企业版还支持其他格式:PDF、GELF(换行分隔)、JSON、NDJSON(换行分隔JSON)及纯文本格式。

创建日志视图组件

日志视图组件选项位于左侧可展开栏。创建步骤如下:

  1. 点击 创建 (+)按钮展开菜单。

  2. 选择 日志视图 在主界面生成组件。

6.1 log view widget.png

默认情况下, 时间戳 , 来源消息 字段以纯文本格式呈现。

向报告添加新字段

您可添加新字段以构建更详尽的报告。例如:可能需要关联website company.org与响应代码之间的活动。

  1. 点击日志行右侧的对角箭头图标。

  2. 查看并选择一个或多个选项,如 https响应代码 .

  3. 点击 保存并关闭 .

或者通过配置模态框添加新字段:

  1. 点击组件右上角的铅笔图标。

  2. 找到 字段选择与排序 并点击下拉箭头,或输入值。

  3. 点击 更新组件 保存所有编辑内容。

聚焦组件

定位到 聚焦此组件 图标位于主日志视图界面。点击可展开组件至全屏视图。

构建可共享数据的仪表盘

本节将确定最适合您信息传递需求的格式,并下载报告。例如,您可以传递:

  • 纯文本数据供同行分析(如 日志文件/纯文本 ).

  • 数据至基于JavaScript构建的日志库(如 JSON ).

  • 结构化数据对象至TCP或UNIX管道(如 NDJSON ).

若已配置,您可在 创建日志视图组件 章节使用上述创建的仪表盘。

按以下步骤操作:

  1. 点击V形图标访问 操作 菜单。

  2. 点击向下箭头打开对话框。

  3. 选择输出格式。

  4. 找到 待导出字段 区域,并在 向报告添加新字段 .

  5. 点击时钟图标配置绝对日期范围,格式显示为yyyy-MMM-dd HH:mm:ss.SSS。

  6. 消息限制 (可选)

  7. 下选择数字,点击 开始下载 .

本节内容 :