6.2 kibana搜索简易指南

kibana搜索简易指南

在进行一般的数据查询时,一般使用kibana来进行,本文列举部分常用的kibana搜索场景以供参考

全文搜索

在搜索栏输入要查询的关键词,如login,会返回所有字段值中包含login的文档 或者使用双引号将多个关键词包起来作为一个短语搜索,如"like Gecko"

注意: 以以下字段进行说明

message: One or more of the indices you’re looking at contains a date field.

• 如果字段类型为string(text)时,会自动分词,此时搜索其中的一个单词(looking)或多个连续单词时(you’re looking at),可以正常获得搜索结果

• 如果字段类型为string(keyword)时,不会进行分词,此时整个字段为一个整体,不能通过搜索其中的某个或者某段关键词来得到结果,此时应该使用通配符进行:One or more of the*,*of the indices*但是要注意尽量避免后者使用通配符打头的情况,此时效率会极为低下,严重可能导致整个集群无响应,如果必须使用,要尽可能保证查询条件精简

字段

field:value 限定字段全文搜索 filed:"value" 精确搜索：关键字加上双引号 http.code:404 搜索http状态码为404的文档

根据字段本身是否存在 _exists_:http 返回结果中需要有http字段 _missing_:http 不能含有http字段

转义特殊字符

+ - = && || > < ! ( ) { } [ ] ^ " ~ * ? : \ /

以上字符当作值搜索的时候需要用\转义

\(1\+1\)\=2用来查询(1+1)=2

通配符

• ? 匹配单个字符 kiba?a

• * 匹配0到多个字符 el*search

? _ 不能用作第一个字符,例如：?text _text

正则

es支持部分正则功能,性能较差, 只有keyword类型的字段支持正则表达式

模糊搜索

quikc~ brwn~ foks~ ~:在一个单词后面加上~启用模糊搜索,可以搜到一些拼写错误的单词

first~ 这种也能匹配到 frist

还可以设置编辑距离（整数）,指定需要多少相似度 cromm~1 会匹配到 from 和 chrome 默认2,越大越接近搜索的原始值,设置为1基本能搜到80%拼写错误的单词

近似搜索

在短语后面加上~,可以搜到被隔开或顺序不同的单词 "where select"~5 表示 select 和 where 中间可以隔着5个单词,可以搜到 select password from users where id=1

范围搜索

数值/时间/IP/字符串 类型的字段可以对某一范围进行查询

优先级

使用\^使一个词语比另一个搜索优先级更高,默认为1,可以为0~1之间的浮点数,来降低优先级

逻辑操作

·+apache -jakarta test aaa bbb：结果中必须存在apache,不能有jakarta,剩余部分尽量都匹配到

分组

字段分组

示例

以下使用nginx日志进行搜索展示, kibana中查询语句,

• 查找status为502的日志条目

• 查找所有status不为502的日志

• 查找所有status为20*的日志

• 查找所有status不是20*和30*的日志

• 查找图片名称为o2opc-1098584933527195648的日志

  完整请求日志url： GET /image/https://admin.oss-cn-beijing.aliyuncs.com/o2opc-1098584933527195648?Expires=1583988781&OSSAccessKeyId=YoEjJppQGGwxr7Cz&Signature=yotUB%2B7qDRRY2oS8bIUCNsuntV0%3D HTTP/1.1

• 查找请求时间超过10s的请求