#Kibana 可视化

Kibana 是 ELK Stack 的可视化层，为 Elasticsearch 中的日志数据提供探索、聚合、仪表盘等功能。与 Grafana 侧重于指标可视化不同，Kibana 专精于非结构化日志数据的查询和可视化，支持自由文本搜索、字段提取、聚合分析等能力。

Kibana 的核心功能模块包括：Discover——日志探索和自由搜索；Visualize——创建各类可视化图表；Dashboard——组合多个图表为完整的监控视图；APM——基于日志和链路追踪的应用性能分析。掌握这些模块的使用，是用好 ELK 的基础。

#Discover：日志探索

Discover 是 Kibana 的入口页面，用于搜索和过滤日志数据。Kibana 使用 Kibana Query Language（KQL） 进行搜索，支持两种语法：简洁语法的 level:ERROR AND service:"payment"，以及 Lucene 语法的 level:ERROR AND service:payment。KQL 支持字段补全，对新用户更友好。

时间过滤是 Discover 的核心功能。你可以通过时间选择器（右上角）选择时间范围，也可以点击直方图中的某个柱状体快速定位。发现最近的异常模式的常用流程是：先用 level:ERROR 定位错误日志，再通过时间过滤缩小范围，最后逐条分析错误堆栈。

#聚合分析与可视化

Kibana 的 Aggregations API 支持丰富的聚合分析能力：Terms Aggregation 统计各分类的数量（如按 level、service 分组）；Date Histogram 按时间区间统计数量；Percentiles 计算延迟分位数；Cardinality 统计唯一值数量。

这些聚合能力可以用于：创建 Top 10 错误类型柱状图、按服务分布的饼图、错误率随时间变化趋势图。与 Grafana 相比，Kibana 的优势在于支持全文检索——你可以搜索日志内容中的任意关键词，Grafana 则更适合结构化的指标查询。