Elk之kibana常用查询语法介绍
现在大部分公司都会使用ELK组合来对日志数据的收集、存储和提供查询服务,最近经常使用kibana查询用户的一些行为日志跟踪定位一些疑难杂症,我们今天来聊聊Elk中的kibana的常用的语法使用。
1. 全文搜索
在搜索栏输入text,会返回所有字段值中包含text的文档
2. 字段查询
You can search any field by typing the field name followed by a colon “:” and then the term you are looking for.
Elk官方文档
status:active //the status field contains activeauthor:"John Smith" //the author field contains the exact phrase "john smith"author: John Smith // equal author:John OR _all:Smith
3. 通配符查询
title: kiba?a //?匹配单个字符title: k*a //*匹配多个字符
4. 逻辑操作查询
controller:articles AND action:get //逻辑与controller:articles OR controller:news //逻辑或NOT (controller: articles) //不等于
5. 范围查询
count:[1 TO 5]date:[2012-01-01 TO 2012-12-31]age:>10age:<=10upstream_response_time: (>3 AND <5)upstream_response_time: [3 TO *]
6. 正则查询
name:/joh?n(ath[oa]n)/7. 距离查询
name:"bruce lee"~2 //匹配时允许bruce和lee之间有两个词的距离8. 特殊字符过滤
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \ /当查询内容遇到上述这些关键字时,需要使用\做转义,以上就是一些常用的kibana查询语法。