新版本Kibana的7.x支持两种方式的查询语法
- Lucene 语法
- KQL语法
(1) 全文搜索
在搜索栏输入xxoo,会返回所有字段值中包含xxoo的文档,使用双引号包起来作为一个短语搜索。
"xxoo" 或者 xxoo
(2)匹配字符
? 匹配单个字符
* 匹配0到多个字符
例如:
kiba?a, el*search
(3)限定字段进行全文搜索
message : "ExecutorRegistryThread"
(4) 可以通过左侧添加filter选项,限制服务器、时间、字段等
(5) 模糊查询
~: 在一个单词后面加上~启用模糊搜索,可以搜到一些拼写错误的单词。first~ 这种也能匹配到 frist、
car~
或者
message: "car~"
(6) 逻辑操作符查询
逻辑操作符可以使用 AND, OR, NOT
(1) 或查询
message : "微信" OR log.file.path:"/home/data/logs/crm/crm_all.log"
(2)且查询
message : "微信" AND log.file.path:"/home/data/logs/crm/crm_all.log"
(7) 范围查询
范围操作,可以指定日期、数字或者字符串字段的范围
# [min TO max] 是闭区间
# {min TO max} 是开区间
@age: [20TO 30]
# * 表示一端不限制范围
count:[10 TO *]
(8) 转义,保留字符包括以下,需要使用转义符来进行转义:
# 查询有等号的示例
message: "domain\=jobmd_ent4ent"
(9) 精确匹配
message : "微信"