elk查询画图,kibana进程查询
根据字段查询精确匹配:如果没有agent:'Mozilla/5.0 '双引号,则只需包含指定的值即可搜索agent:Mozilla/5.0
数值类型没有上述差异时
数组查询指定区间: response:[100 TO 200]
大于或等于指定值: response:[201 TO *]
小于或等于指定值: response:[* TO 200]
注意:待办事项必须大写
2015-05-20T09:20:41.943Z或更高版本的数据: @ timestamp : { 2015-05-20t 09336020336041.943 zto
2015-05-20T09:20:41.943Z以前的数据: @ timestamp : { * to 2015-05-20t 09336020336041.943 z }
指定的时间范围: @ timestamp : { 2015-05-20t 09336020336041.943 zto 015-05-22t 09336020336041.943 z }
注意:待办事项必须大写; 09:20:41事实上是17:20:41,存在8个时间差
正规匹配包含指定的值。 request:/uploads*/
不包含指定的值: request:/uploads*/
逻辑查询AND (类似于关系数据库) request :/uploads */and response 3360404
OR (类似于关系数据库) request :/uploads */or response :200
组合查询: (用户界面)和版本
主机字段存在/不存在,但url字段不存在。 _ exists _ : hostand _ missing _ 3360 URL特殊转义字符`|! () ) ) ) () ) ) )? 如果要按值搜索: \`或更大的字符,则必须用\转义
参考:
https://segmentfault.com/a/1190000002972420
http://blog.csdn.net/pistolove/article/details/53693963
转载于:https://www.cn blogs.com/Tian boblog/p/6861689.html