kibana 基本使用语法

       

时间选择器

默认的时间过滤器设置为最近 15 分钟。你可以用页面顶部的时间选择器(Time Picker)来修改时间过滤器，或者选择一个特定的时间间隔，或者直方图的时间范围。

要用时间选择器来修改时间过滤器：

1. 点击菜单栏右上角显示的 Time Filter 打开时间选择器。
2. 快速过滤，直接选择一个短链接即可。
3. 要指定相对时间过滤，点击 Relative 然后输入一个相对的开始时间。可以是任意数字的秒、分、小时、天、月甚至年之前。
4. 要指定绝对时间过滤，点击 Absolute 然后在 From 框内输入开始日期，To 框内输入结束日期。
5. 点击时间选择器底部的箭头隐藏选择器。

检索

全文检索

• 在搜索栏输入login，会返回所有字段值中包含login的文档
• 使用双引号包起来作为一个短语搜索："server login"

字段

• 按照左侧字段列表进行检索

• 限定字段全文搜索：field:value

• 精确搜索：关键字加上双引号 filed:"value"

  http.code:404 搜索http状态码为404的文档

• _exists_:http：返回结果中需要有http字段

• _missing_:http：不能含有http字段

介绍一下几个系统默认的字段

@timestamp 时间。精确到毫秒（可以自定义显示）
host 主机名。为产生日志的服务器的主机名；
message：信息。为日志具体类容信息；
path：路径。在服务器上的日志存放路径；

逻辑操作

• AND

• OR

• NOT NOT type: mysql

• +：搜索结果中必须包含此项

• -：不能含有此项

  +apache -jakarta test：结果中必须存在apache，不能有jakarta，test可有可无
  +d:iPhone 6s Plus -uid:104 解释同上

通配符

• ? 匹配单个字符

• * 匹配0到多个字符

  kiba?a, el*search

? * 不能用作第一个字符，例如：?text *text

范围搜索

数值和时间类型的字段可以对某一范围进行查询

• lengthType:[100 TO 200]

• dateType:{"now-6h" TO "now"}

[ ] 表示端点数值包含在范围内，{ } 表示端点数值不包含在范围内

模糊搜索

• _{:在一个单词后面加上}启用模糊搜索

  first~ 也能匹配到 frist

• 还可以指定需要多少相似度
  cromm~0.3 会匹配到 from 和 chrome
  数值范围0.0 ~ 1.0，默认0.5，越大越接近搜索的原始值

近似搜索

• 在短语后面加上~,用 ~ 表示搜索单词可能有一两个字母写的不对，请 ES 按照相似度返回结果

  "select where"~3 表示 select 和 where 中间隔着3个单词以内

正则搜索

• 传送门

注意 ES 中正则性能很差，而且支持的功能也不是特别强大，尽量不要使用

转义特殊字符

• + - && || ! () {} [] ^" ~ * ? : \以上字符当作值搜索的时候需要用\转义

作者：艾伦先生
链接：https://www.jianshu.com/p/83223427d089
來源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。