在kibana中,可通过搜索查询过滤事务或者在visualization界面点击元素过滤。
创建查询
在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写。如查询类型是http,且状态码是302。type: http AND http.code: 302。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
字符串查询
查询可以包含一个或多个字或者短语。短语需要使用双引号引起来。如:文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
每个字段都会匹配过去。要搜索一个确切的字符串,需要使用双引号引起来。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
如果不带引号,将会匹配每个单词。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
kibana会忽略特殊字符。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
基于字段的查询
只搜索特定的字段。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
正则表达式查询
kibana支持正则表达式过滤器和表达式。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
返回查询
允许一个字段值在某个区间。[] 包含该值,{}不包含。文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
文章源自运维生存时间-https://www.ttlsa.com/elk/elk-kibana-query-and-filter/
布尔查询
布尔运算符(AND,OR,NOT)允许通过逻辑运算符组合多个子查询。
运算符AND/OR/NOT必须大写。
NOT type: mysql
mysql.method: SELECT AND mysql.size: [10000 TO *]
(mysql.method: INSERT OR mysql.method: UPDATE) AND responsetime: [30 TO *]
创建过滤器
可通过单击可视化中的元素进行筛选。
绿色filter for value 红色filter out value。
评论