首页天道酬勤kibana教程,elk查询语句

kibana教程,elk查询语句

张世龙 05-06 02:23 129次浏览

Kibana拆分字段的时候,可能是根据空格拆分的。

例如:nested exception is java.net.SocketTimeoutException: Read timed out ,

单独搜索nested ,exception 都可以,但单独搜索SocketTimeoutException 是搜不到的。

但是java.net.SocketTimeoutException可以搜索到。

1.用双引号括起来作为短语搜索: 'like Gecko '

http://www.Sina.com/http://www.Sina.com /

例如,基巴? a,el*search

? *不能用作第一个字符。 示例:文本*文本

http://www.Sina.com/http://www.Sina.com/field 3360 value; 匹配的是整个单词。 否则可能不一致。 key只能是json的最外层。

如果将http://www.Sina.com/http://www.Sina.com /关键字加上双引号filed:'value ',则key只能位于json的最外层。

http://www.Sina.com/http://www.Sina.com /

quikc~ brwn~ foks~

~:在一个单词后加上~启用模糊搜索,可以搜索拼写错误的单词。 所谓first~也与frist相匹配,

也可以设定编辑距离(整数),指定所需的相似度

cromm~1与from和chrome一致

默认值2越大,越接近搜索的原始值;设置为1,几乎搜索80%的拼写错误单词

通过在2.左侧添加过滤器选项,可以限制服务器、时间、字段等

? 匹配单个字符; * 匹配0到多个字符 (貌似精确搜索的时候,不能使用?和*,使用双引号括起来的时候无效)鼠标悬停在搜索结果上,有放大符号和缩小符号。 单击可选择包含或不包含几个值作为筛选条件

3.

限定字段全文搜索:

#全文搜索Exception: Exception

#查询字段指定消息执行:消息:执行

#查询短语: message 3360 ' Java.lang.nullpointerexception '

#每个消息字段都包含exception :消息* : exception

使用通配符, *代替1个字符,*代替零个字符以上的: message: Exceptio*

#正则表达式可以用/括起来,以便在查询字符串中嵌入:消息:/ex吗? (cep[tion] ) /

#另一个正则是“非abc两个字符”3360 info.recall id :/[ ^ ABC ] {2} /

http://www.Sina.com/http://www.Sina.com /

可以在几个布尔运算符中使用。 如果查询中没有任何运算符,则缺省情况下使用OR运算符。

支持AND、OR、NOT。 ||, 操作员:消息: (exceptionanderror ) or (errorandexception ) or error (and not exception )、

包括lucene但不包括elastic search:lucenenotelasticsearch (not必须是大写) ) ) ) ) ) ) ) ) )

#必须包括。 可能没有其他。 lucene必须包括在内。 可能没有Apache .Lucene Apache http://www.Sina.com /

包含lucence但不包含apach的操作符号'-'

e...:+lucene-apache        (如果限定字段,需要加单引号)

    一个字段内查询多个内容,用&&或者and连接:msg:"更新每日"&&"19041112210104855593"  ,msg:"更新每日" AND  "19041112210104855593"

10. 范围操作,可以指定日期、数字或者字符串字段的范围:

       # [min TO max] 是闭区间

       # {min TO max} 是开区间

       @timestamp: [1510536210000 TO 1510550000000]

        # * 表示一端不限制范围

       count:[10 TO *]

11. 转义,保留字符包括以下,需要使用转义符来进行转义:

      # 例子:message: "domain\=jobmd_ent4ent"

      # 转义符:+-=&&||><!(){}[]^"~*?:\/

12. 模糊查询

       使用"~”字符以及一个紧随其后的整数值,当使用该修饰符修饰一个词项的时候,意味着我们想搜索那些包含该此项近词项的文档。"~"字符后的整数值确定了近似词项与原始词项的最大编辑距离。

       # mastering book Elasticsearch 也会被认为匹配

       title: "mastering Elasticsearch"~2

13. Kibana 中一些好用的功能

      1) Save Search:可以保存之前的 query,通过历史记录可以查找最近的使用。

      2) 时间过滤器:可以设置相对 relative 或者绝对 absolute 时间过滤器,前者是相对于当前时间的时间,后者是绝对时间。

      3)自动刷新:固定的查询条件的情况下,可以设置自动刷新的时间来刷新可视区域。

      4)直方图选择区域:选择区域可以出发时间过滤器。

      5)字段列表搜索字段:可以通过 add 添加不同组合。

      6)share 功能:导航栏处有一个 share 按钮,将查询的语句通过链接的方式进行分享,分别团队成员一起查询。

      7)应用例子-某用户的推荐 bad case: 确定这个 bad case 的请求参数,拿到 id 和 domain, 确定请求发生的时间或者时间段

           # 已知 domain 为 bbs_app_recomm,并且用户名为「oscar」的请求,在2017年11月7日 下午4点前后,有一次推荐的 bad case,需要这次推荐的过程,了解为何会产生这次推荐的结果。

           # 通过查询到的结果上下浏览,得到该用户的 recall 和 rerank 结果,大致可以找到 bad case 的原因。

           message: "oscar" AND @timestamp: 1510042056000

14. kibana 日志可能延迟,如果看到,直接登录服务器去看

15. 在一些情况下kibana日志可能显示不全

      LOGGER.warn("invoke error,ex=", e); 这种格式的日志,如果运维没有特殊设置,可能导致日志显示不全。

 

参见:https://zhuanlan.zhihu.com/p/33791813

           https://segmentfault.com/a/1190000002972420

 

转载于:https://www.cnblogs.com/Jtianlin/p/10755372.html

elasticsearch查询语句,索引生命周期