Series này là lộ trình học Kibana cho developer backend và DevOps — từ cú pháp filter cơ bản cho tới dashboard-as-code, alert rule và production ops. Mỗi post đứng độc lập nhưng đọc tuần tự sẽ build lên bức tranh hoàn chỉnh về cách vận hành ELK stack bền vững.
Đối tượng
- Dev backend lần đầu nhìn vào Kibana, không biết filter sao cho đúng
- DevOps muốn chuẩn hoá dashboard, alert và access control
- Tech lead cần pattern để team onboard nhanh vào logging stack
Mỗi bài có cheatsheet, ví dụ copy-paste và danh sách pitfalls thực tế đã gặp trong production.
Cấu trúc series
Part 1: Foundation (bắt đầu từ đây)
Mục tiêu: dev mở Kibana là biết phải làm gì, không cần hỏi DevOps.
| # | Title | Status |
|---|---|---|
| 1 | Kibana cho Developer: Filter log, Saved Search, Dashboard và REST API | Đã xuất bản |
| 2 | KQL và ES|QL: So sánh hai ngôn ngữ query của Kibana | Đã xuất bản |
| 3 | Discover nâng cao: Runtime fields, filter phức tạp, highlighting | Đã xuất bản |
Part 2: Visualization Deep Dive
Mục tiêu: từ số liệu thô tạo ra report có thẩm mỹ, dễ đọc.
| # | Title | Status |
|---|---|---|
| 4 | Lens: từ drag-drop tới công thức phức tạp | Đã xuất bản |
| 5 | Canvas: dựng report branded cho stakeholder | Đã xuất bản |
| 6 | Maps: geo visualization cho IoT và telemetry | Dự kiến |
| 7 | Visualization pitfalls: lỗi hay gặp với aggregation, time bucket | Dự kiến |
Part 3: Alerts & Monitoring
Mục tiêu: biến log từ reactive (xem sau khi có bug) thành proactive (Slack ping khi bất thường).
| # | Title | Status |
|---|---|---|
| 8 | Alert rules: ES query, threshold, burn rate | Dự kiến |
| 9 | Connectors: Slack, Email, Webhook, PagerDuty — setup và best practices | Dự kiến |
| 10 | SLO tracking trong Kibana: SLI, error budget, alert progression | Dự kiến |
| 11 | Deduplication và throttling: tránh alert fatigue | Dự kiến |
Part 4: Security & Access Control
Mục tiêu: multi-team share một cluster mà không giẫm chân nhau, đáp ứng SOC2/ISO audit.
| # | Title | Status |
|---|---|---|
| 12 | Users, Roles, RBAC: mô hình phân quyền trong Kibana 8.x | Dự kiến |
| 13 | Spaces: tách môi trường dev/staging/prod và team con trong cùng Kibana | Dự kiến |
| 14 | API keys nâng cao: document-level security, field-level masking | Dự kiến |
| 15 | Audit logging và compliance: ghi nhận ai làm gì cho Vanta/SOC2 | Dự kiến |
Part 5: Production Operations
Mục tiêu: chạy ELK 24/7 mà không bị disk full, ingest drop hay không restore được.
| # | Title | Status |
|---|---|---|
| 16 | Index Lifecycle Management (ILM): hot/warm/cold/delete và shrinking | Dự kiến |
| 17 | Snapshot & Restore: backup ES lên S3, disaster recovery | Dự kiến |
| 18 | Kibana behind reverse proxy: Nginx, NPM, Cloudflare với XSRF | Dự kiến |
| 19 | TLS/SSL end-to-end: cert giữa Kibana-ES-Beats và public endpoint | Dự kiến |
| 20 | Upgrade ELK: minor version trong-place và major version cluster-swap | Dự kiến |
Part 6: Integration & Automation
Mục tiêu: treat Kibana như code — versioned, reproducible, CI/CD-friendly.
| # | Title | Status |
|---|---|---|
| 21 | Log shippers đối chiếu: Filebeat, Fluentd, Vector — ai thắng ở use case nào | Dự kiến |
| 22 | Dashboard-as-code workflow: NDJSON + Git + CI/CD import | Dự kiến |
| 23 | Kibana API tự động hoá: bulk user creation, mass dashboard update | Dự kiến |
| 24 | Terraform và Kibana: quản lý saved objects, rules, connectors | Dự kiến |
Part 7: Troubleshooting & Performance
Mục tiêu: khi có sự cố thì biết bắt đầu từ đâu, khi chậm thì biết tune cái gì.
| # | Title | Status |
|---|---|---|
| 25 | Kibana không load: checklist debug từ browser tới ES | Dự kiến |
| 26 | ES query chậm: profiler, slow log, shard distribution | Dự kiến |
| 27 | Disk full và shard imbalance: quy trình recovery không mất data | Dự kiến |
| 28 | Performance tuning: JVM heap, field caps cache, merge throttling | Dự kiến |
Lộ trình đề xuất
Beginner (Parts 1-2)
Dev mới. Mục tiêu: mở Kibana tự làm việc được, không chặn ai. Ước lượng: 4-6 giờ đọc + thực hành.
Intermediate (Parts 3-4)
Dev senior và tech lead. Mục tiêu: setup monitoring chủ động và phân quyền cho team con. Ước lượng: 8-10 giờ.
Advanced (Parts 5-7)
DevOps và platform engineer. Mục tiêu: chịu trách nhiệm vận hành cluster production. Ước lượng: 15-20 giờ + lab thực hành.
Mỗi bài sẽ có
- Giải thích khái niệm kèm analogy dễ hình dung
- Step-by-step có screenshot cho phần GUI
- Đoạn code copy-paste được ngay (curl, ES|QL, NDJSON)
- Pitfalls thực tế đã gặp trong production
- Cheatsheet cuối bài
Prerequisites
- Biết đọc JSON và basic HTTP/curl
- Có quyền vào 1 cluster Kibana (local Docker, dev env hoặc Elastic Cloud free tier)
- Quen với Linux command line ở mức copy-paste
Không cần kinh nghiệm ES từ trước. Series sẽ giới thiệu concepts khi cần thiết.
Kế hoạch publish
Series sẽ phát hành dần, ưu tiên các bài Part 1-3 trước vì đây là phần developer dùng hàng ngày. Part 4-7 sẽ ra sau khi có đủ material từ các incident và setup thực tế.
Tất cả bài đều được gắn tag kibana — subscribe tag này để theo dõi update. Nếu bạn có topic cụ thể muốn mình ưu tiên viết (ví dụ đang stuck với alert hay ILM), cứ comment hoặc email để mình đẩy lên đầu hàng.
Cập nhật lần cuối: 2026-04-16 Trạng thái series: 5/28 đã xuất bản