Index in einer Kibana Visualisierung ändern
Die folgende Anleitung wurde mit Kibana v6.2.4 erstellt.
Im folgenden Beispiel soll die Visualisierung, die ursprünglich auf die Indices syslog-* zugegriffen hat auf die neuen Indices mit dem Namen firewall-* zugreifen. Als Werkzeug benötigt man lediglich das Kibana Webfrontend, wie es im Standard installiert wird.
Im folgenden Beispiel soll die Visualisierung, die ursprünglich auf die Indices syslog-* zugegriffen hat auf die neuen Indices mit dem Namen firewall-* zugreifen. Als Werkzeug benötigt man lediglich das Kibana Webfrontend, wie es im Standard installiert wird.
Ermitteln der beiden Elasticsearch Index IDs
Im Menü von Kibana DevTools auswählen und dann in der Console folgende Abfrage erstellen und durch Klick auf den kleinen grünen Pfeil ausführen:
GET .kibana/_search?q=type:index-pattern AND index-pattern.title:syslog
Es erscheint eine sehr lange Ausgabe. Wichtig ist die Zeile
"_id": "index-pattern:AWIUrNqJXqOR1FYBVPUk",
und hier für diesen Zweck auch nur der Wert hinter index-pattern: also
AWIUrNqJXqOR1FYBVPUk
Dies ist die ID des Index syslog-*. Diese benötigen wir nur zu Kontrollzwecken.
Identisch wird nun die ID des Index firewall-* ermittelt. D.h. es wird in den DevTools folgende Anfrage gestellt:
GET .kibana/_search?q=type:index-pattern AND index-pattern.title:firewall
Das Resultat ist, abgesehen von den Zeilen, die nicht benötigt werden
"_id": "index-pattern:e9288ae0-603d-11e8-957d-775d1eff8ce4",
Die ID ist damit
e9288ae0-603d-11e8-957d-775d1eff8ce4
Die beiden IDs sollte man sich zusammen mit den Namen notieren, da man sie für den nächsten Schritt, der eigentlichen Anpassung der Virtualisierung, wieder benötigt.
Anpassen der Kibana Visualisierung
Unter Management -> Saved Objects findet man alle gespeicherten Visualisierungen, Dashboards usw. Nachdem eine Kibana Visualisierung geändert werden soll, wählt man den Reiter "Visualizations". Hier die entsprechende Visualisierung auswählen.
Im folgenden Fenster im Abschnitt kibanaSavedObjectMeta.searchSourceJSON findet sich eine Konfiguration wie z.B.
{
"index": "AWIUrNqJXqOR1FYBVPUk",
"filter": [
{
"meta": {
"index": "AWIUrNqJXqOR1FYBVPUk",
"negate": false,
"disabled": false,
"alias": null,
"type": "phrase",
"key": "direction",
"value": "in",
"params": {
"query": "in",
"type": "phrase"
}
},
"query": {
"match": {
"direction": {
"query": "in",
"type": "phrase"
}
}
},
"$state": {
"store": "appState"
}
}
],
"query": {
"query": "",
"language": "lucene"
}
}
Im obigen Beispiel die beiden Werte hinter "index" mit dem oben ermittelten neuen Wert ersetzen. Im Beispiel bedeutet das, dass die Vorkommen des Wertes AWIUrNqJXqOR1FYBVPUk durch e9288ae0-603d-11e8-957d-775d1eff8ce4 ersetzt werden.
Danach am unteren Ende den Button "Save visualization Object" auswählen um die neuen Werte zu speichern.
Die Änderungen sind sofort wirksam. Wurden alle Werte korrekt geändert, so greift die Visualisierung ab sofort auf den "neuen" Index zu.