kibana查询语法,kibana默认账号密码
引自https://blog.csdn.net/Zeng Chao oo/article/details/79500130
Kibana查询语法手册快速查看全文字段正规近似搜索范围搜索优先级分组字段分组转义特殊字符简单查询1、范围查询2、逻辑操作3、分组4、转义特殊字符Lucene语法为, TermsFields模糊查询termmodifiersfuzzysearchesproximitysearchesrangesearches优先级term运算符booleanoperatorsgroupingfieldgroupingenging
快速查找全文
在搜索栏中输入login将返回所有字段值中包含login的文档
用双引号括起来用作短语搜索
也可以在页面左侧显示的字段中搜索" like Gecko "字段
字段全文搜索: field:value
准确搜索:关键字加双引号filed:“value”
搜索http.code:404http状态代码为404的文档
是否有字段本身
exists:http :需要http字段才能返回结果
缺少: http:http字段不可用
通配符
? 匹配一个字符
是否匹配0到多个字符kiba? A,el*search? *不能用作第一个字符。 示例:文本*文本
正规es支持部分正规功能,性能较差
name:/joh? n(ath[OA]n ) /
模糊搜索
quikc~ brwn~ foks~ :可以通过在一个单词后启用模糊搜索来搜索拼写错误的单词
first~这样的也匹配frist
也可以设定编辑距离(整数),指定所需的相似度
cromm~1与from和chrome一致
默认值2越大,越接近搜索的原始值;设置为1,几乎搜索80%的拼写错误单词
近似搜索可以在短语后面加上~来搜索分隔或顺序不同的单词
whereselect表示select和where之间可以包含五个单词,并且可以搜索selectpasswordfromuserswhereid=1
范围搜索数值/时间/IP/字符串类型字段允许您查询范围
length:[100 TO 200]
sip : [“172.24.20.110”to“172.24.20.140”]
date : {“now-6h”to“now”}
搜索tag:{b TO e}到e之间的字符
count:[10 TO *] *表示一端不限制范围
count:[1 TO 5} [ ]表示端点的数值不在范围内,{ }表示端点的数值不在范围内,可以混合使用。 这个句子从1到5,包括1,不包括5
可以简化为以下写法。
age:10
age:=10
age:(=10and20 ) )。
优先级quick ^ 2传真
使用^将一个单词的优先级高于另一个搜索。 默认值为1,可以设置为0到1之间的浮点数以降低优先级
逻辑操作
与与
或
:必须在搜索结果中包含此项目
:此项目不能包含在内
apache -jakarta test aaa bbb :结果中必须存在apache,不能有jakarta,其余部分尽量一致
“分组”和“Jakarta字段组title:(return'pinkpanther ' ) host : (baiduorqqorgoogle ) andhost3360 ) 3360(/
将上述字符作为值进行搜索时需要转义\
(1) (2)1)=2简单查询1,范围查询age:(20to30 ) age:(20to30 )注:)表示端点的数值包含在范围内,)表示端点的数值不包含在范围内
2、逻辑操作AND OR示例: first name : h * andage :20 first name : h * orage :20 :搜索结果中必须包含此项目。 本示例:不能包含firstname336020h*-age:20cc
3、分组(firstname:H* OR age:20 ) AND state:KS为姓名h起始年龄或20个结果,然后为国家与KS的结合
firstname:(h*-He* )搜索firstname字段中以h开头的结果,并排除firstname中以he开头的结果
的结果 4、转义特殊字符 + - && || ! () {} [] ^" ~ * ? : \注意:以上字符当作值搜索的时候需要用 \ 转义
Lucene语法Kibana查询语法和Lucene相同,下面是Lucene的查询语法介绍。
注意:Lucene查询语法不适合在程序中使用,程序中使用可以调用Lucene-API,API提供了丰富功能来组合定制你所需要的查询器,查询语法是为手工输入高级查询设计的,而不是为程序拼接语法串而设计的。
简单说明 Terms 一个查询将分解为若干Term以及操作符,有两种Term,其一是单一Term,其二为短语单一Term是经过分析器分词后的最小单元,就是一个简单的单词,比如:hello、world等短语是用双括号括起来的一组词,例如:”hello world”多个Term可以通过布尔操作合并在一个更加复杂的查询器中 FieldsLucene支持多字段数据,轻松的歌曲在查询的时候你可以指定一个字段查询,key和value用冒号隔开即可,如:
MODULE:FrontNginx AND thumbnail 模糊查询 Term ModifiersLucene支持在Term中使用通配符来支持模糊查询,“?”通配符一个字符,“*”通配多个字符
te?ttest*te*t注意:不能将“*”和“?”放在第一个字符来查询。
Fuzzy SearchesLucene支持基于编辑距离算法的模糊搜索,可以使用波浪符号“~”放在查询词的后面,比如搜索一个与“ahumbnail”拼写相近的词可以使用:
ahumbnail~该查询将寻找类似“ahumbnail”和“thumbnail”等的词语,也叫相似度查询。
Proximity SearchesLucene支持指定距离查询,可以使用波浪号“~”加数字在查询词后。举例来说搜索“thumbnail”和“quality”距离10个字符以内,你可以使用如下语法
"thumbnail quality"~10 Range Searches范围查询允许指定某个字段最大值和最小值,查询在二者之间的所有数据。也可以对非字符类型来进行范围查找:
Parsed.status:[400 TO 499]Parsed.bucket:{mail-online TO nail-online}注意:范围查找在Kibana中查找的结果并不准确。
优先级Lucene支持给不同的查询词设置不同的权重。设置权重使用“”符号,将“”放于查询词的尾部,同时跟上权重值,权重因子越大,该词越重要。设置权重允许你通过给不同的查询词设置不同的权重来影响文档的相关性,比如:
jakarta apache jakarta^4 apache"jakarta apache"^4 "jakarta lucene"在默认情况下,权重因子为1.
Term操作符 Boolean operators布尔操作符可以将多个Term合并为一个复杂的逻辑查询。Lucene支持AND,
+,OR,NOT, -作为操作符号。注意,所有的符号必须为大写。
+操作符规定在其后的Term必须出现在文档中,也就是查询词中的MUST属性。
-操作符排除了包含其后Term的文档,跟NOT有点类似,如下:
Lucene支持使用圆括号来将查询表达式分组,这将在控制布尔控制查询中非常有用。
(Parsed.status:200 Parsed.status:206) AND "mail-online"这种语法对消除歧义,确保查询表达式的正确性具有很大的意义。
Field GroupingLucene支持对字段用圆括号来进行分组,当我们要查询status中含有“200”和“206”时,我们可以使用如下语法:
Parsed.status:(+200 OR 206) Escaping Special CharactersLucene支持转义查询中的特殊字符,以下是Lucene的特殊字符清单:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \转义特殊字符我们可以使用符号“\”放于字符之前。