Kibana查询语法

目录

• 模糊搜索
• 近似搜索
  • 正则匹配
  • 逻辑查询
  • 存在/不存在
  • 通配符
  • 特殊转义字符

 

---

根据某个字段查询

• 精确匹配： agent:"Mozilla/5.0"
• 如果不带双引号，只要包含指定值就可以搜索到 agent:Mozilla/5.0
• 如果是数值类型没有以上区别

范围查询

类型	语法
指定区间	response:[100 TO 200]
大于等于	response:[201 TO *]
小于等于	response:[* TO 200]
大于指定数值	response:{10 TO 20}

注意：TO 必须是大写, [ ] 表示端点数值包含在范围内，{ } 表示端点数值不包含在范围内。

不等于

• 不等于：NOT
  例子：查询名字不为李四的学生
  NOT name:"lisi"

从指定时间到现在/或者查询指定时间前数据

• 2015-05-20T09:20:41.943Z之后的数据： @timestamp:{2015-05-20T09:20:41.943Z TO *}

• 2015-05-20T09:20:41.943Z之前的数据： @timestamp:{* TO 2015-05-20T09:20:41.943Z }

• 指定时间范围： @timestamp:{2015-05-20T09:20:41.943Z TO 015-05-22T09:20:41.943Z}

注意：TO 必须是大写；09:20:41事实上是17:20:41，存在8个小时差

回到顶部

模糊搜索

• ~ : 在一个单词后面加上~启用模糊搜索

first~ 也能匹配到 frist

回到顶部

近似搜索

• 在短语后面加上~

"select where"~3表示 select 和 where 中间隔着3个单词以内。

正则匹配

• 包含指定值： request:/uploads*/

• 不包含指定值： !request:/uploads*/

逻辑查询

• AND（并且）request:/uploads*/ AND response:404

• OR（或者） request:/uploads*/ OR response:200

• 组合查询 (uid OR token) AND version

存在/不存在

• 存在 _exists_:http ：返回结果中需要有 http 字段

• 不存在 _missing_:http ：不能含有 http 字段

通配符

• ? 匹配单个字符

• * 匹配0到多个字符

kiba?a, el*search

? * 不能用作第一个字符，例如 ：?text *text

特殊转义字符

+ – && || ! () {} [] ^” ~ * ? : \

以上字符当作值搜索的时候需要用\转义

__EOF__

本文作者：彬在俊
本文链接：https://www.cnblogs.com/erlou96/p/16878361.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！