vlambda博客
学习文章列表

知彼知己。

模块1

Kibana搜索语法

https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html#query-string-syntax

模块2

hello world   包含hello或者world或者hello world

"hello world"   包含hello world

response.body:hello world   返回包包含hello或者world或者hello world

response.body:(hello world)

response.body:"hello world"   返回包包含hello world

模块3

responsetime:>=190   大于等于190

responsetime:<190   小于190  

responsetime:(>190 && <200)   大于190，小于200，记得空格

responsetime:[190 TO 200]   190到200之间，包含190和200

responsetime:{190 TO 200}   190到200之间，不包含190和200

responsetime:{190 TO 200]   190到200之间，不含190，包含200

responsetime:[100 TO *]   一端不受限

@timestamp:["2019-12-25T12:00:00Z" TO "2019-12-25T23:59:59Z"]

2019年12月25号晚上20点到26号08点

unix_time:[1577203200 TO 1577246400]

2019.12.25 00:00:00到2019.12.25 12:00:00，需要进行时间戳的转换

模块4

+request.host:www.pjzhang.com +realUrl:*login*

主机名www.pjzhang.com，url包含login

+request.host:www.pjzhang.com realUrl:*login*

主机名www.pjzhang.com，url可以包含login（可有可无）

+request.host:*pjzhang.com -request.host:www.pjzhang.com

主机名包含pjzhang.com，但不能是www.pjzhang.com

request.host:(*pjzhang.com -www.pjzhang.com)

主机名包含pjzhang.com，但能是www.pjzhang.com

request.host:(*pjzhang.com AND www.pjzhang.com)

request.host:(*pjzhang.com && www.pjzhang.com)

主机名www.pjzhang.com

request.host:(*pjzhang.com NOT www.pjzhang.com)

主机名包含pjzhang.com，但不能是www.pjzhang.com

request.host:(*pjzhang.com !cbp.pjzhang.com)

主机名包含pjzhang.com，但不能是cbp.pjzhang.com，叹号要和否定的内容相连

request.host:(www.pjzhang.com OR www.pjzhang.cn)

主机名为www.pjzhang.com或者www.pjzhang.cn

response.code:(200 || 301 || 404)

response.code:(200 | 301 | 404)

response.code:(200 OR 301 OR 404)

数字与竖线或者OR之间也需要空格

request.host:(www.pjzhang.com OR www.pjzhang.cn) AND response.code:200

主机名为www.pjzhang.com或者www.pjzhang.cn，响应码是200

模块5

realUrl:*login*   url包含login，*表示0个及以上个字符

realUrl:*sign?p*   ?表示1个字符，例如signup

response\*:200   含有response，且数值是200，转义符号也必不可缺少

request.content-type:text\/html   

需要转义内容类型的值才可以查询，例如+ - = && || > < ! ( ) { } [ ] ^ " ~ * ? : \ /

request.host:/www\..*\.com/

开头是www，结尾是com的域名，需要在//中写入正则表达式，功能有限

response.body:/10\.(\d{1,3}\.){2}\d{1,3}/   查询返回包中含有内网IP的情形

request.host:www.pjzhang.cn ~

request.host:www.pjzhang.cn ~1

模糊查询，结果中有www.Pjzhang.cn，~符号后面默认是2，设置为0的时候就是精确查询

over。