标签：41.943 20 05 Kibana 查询 语法 2015 20T09 response

根据某个字段查询

• 精确匹配： agent:"Mozilla/5.0"
• 如果不带双引号，只要包含指定值就可以搜索到 agent:Mozilla/5.0
• 如果是数值类型没有以上区别

范围查询

注意：TO 必须是大写, [ ] 表示端点数值包含在范围内，{ } 表示端点数值不包含在范围内。

不等于

• 不等于：NOT
  例子：查询名字不为李四的学生
  NOT name:"lisi"

从指定时间到现在/或者查询指定时间前数据

• 2015-05-20T09:20:41.943Z之后的数据： @timestamp:{2015-05-20T09:20:41.943Z TO *}

• 2015-05-20T09:20:41.943Z之前的数据： @timestamp:{* TO 2015-05-20T09:20:41.943Z }

• 指定时间范围： @timestamp:{2015-05-20T09:20:41.943Z TO 015-05-22T09:20:41.943Z}

注意：TO 必须是大写；09:20:41事实上是17:20:41，存在8个小时差

模糊搜索

• ~ : 在一个单词后面加上~启用模糊搜索

first~ 也能匹配到 frist

近似搜索

• 在短语后面加上~

"select where"~3 表示 select 和 where 中间隔着3个单词以内。

正则匹配

• 包含指定值： request:/uploads*/

• 不包含指定值： !request:/uploads*/

逻辑查询

• AND（并且） request:/uploads*/ AND response:404

• OR（或者） request:/uploads*/ OR response:200

• 组合查询 (uid OR token) AND version

存在/不存在

• 存在 _exists_:http ：返回结果中需要有 http 字段

• 不存在 _missing_:http ：不能含有 http 字段

通配符

• ? 匹配单个字符

• * 匹配0到多个字符

kiba?a, el*search

? * 不能用作第一个字符，例如 ：?text *text

特殊转义字符

+ – && || ! () {} [] ^” ~ * ? : \

以上字符当作值搜索的时候需要用\转义

标签：41.943,20,05,Kibana,查询,语法,2015,20T09,response
来源： https://www.cnblogs.com/erlou96/p/14789230.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。