来自官网，版本为4.5

下载rpm包并安装

wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpmrpm -ivh kibana-4.5.4-1.x86_64.rpm

 配置文件位于/opt/kibana/config/

日志文件位于/var/log/kibana/

默认连接的是本机elasticsearch，可在配置文件中修改，这里不用修改，直接启动

/etc/init.d/kibana start

默认占用5601端口，可通过http://[ip]:5601在浏览器访问

初次进入需要至少创建一个索引模板，这个是对应elasticsearch中的索引；

默认给的是logstash-*，配置学习logstash时的测试数据直接在这里使用，所以直接点击页面的create按钮即可

创建好索引模板后，在Discover，左边选择所以logstash-*，右上角选择时间，就可以看到日志了，左边可以选择要显示的列

在Discover中上方的搜索框中输入查询公式进行查询，基本语法有：

直接在搜索框输入关键字，所有字段只要包括就会被匹配，比如输入一串手机号码；

如果是短语则需要用双引号，中文的话因为它不会分词，两个及以上中文都算短语：

"hello world" "中文"

可以用冒号指定某个字段包含某些关键字，field:value，当然短语还是需要用引号：

level:ERROR level:"错误"

非、与、或：

NOT level:ERRORsource:"logstash.log" AND level:ERRORlevel:WARN OR level:ERROR

组合用小括号：

(source:"logstash.log" OR source:"filebeat.log") AND level:ERROR

 必须包含、不可包含：

+ 必须包含- 不可包含source:(+"logstash.log" -"2016-12-15") #必须来自logstash，但不要12-15的

数字的范围（count类型必须是数字）：

count:[1 TO 2] #1 ~ 2

通配符，跟常用的一致：

? 匹配单个字符* 匹配0到多个字符

over