2. 程式人生 > >ELK日誌分析Kibana——篩選語法基礎

ELK日誌分析Kibana——篩選語法基礎

阿新 發佈:2018-12-23

摘要: ES全文搜尋的簡易語法是Kibana上使用的搜尋語法,一定需要學會,前一篇文章給出的只是基礎的、最根本的CRUD操作,是對單挑資料的操作,但是在Kibana中存在大量的搜尋和聚合,動輒上千萬的資料量,所以掌握好ES全文搜尋的語法就是使用Kibana的重要保證。

ES全文搜尋的簡易語法是Kibana上使用的搜尋語法,一定需要學會,前一篇文章給出的只是基礎的、最根本的CRUD操作,是對單挑資料的操作,但是在Kibana中存在大量的搜尋和聚合,動輒上千萬的資料量,所以掌握好ES全文搜尋的語法就是使用Kibana的重要保證。
簡易語法詳細解析:

1、全文檢索:直接寫搜尋的單詞 如:搜尋‘id’,搜尋字元A;

2
 
、單欄位的全文檢索:在搜尋單詞之前加上欄位名和冒號,比如如果知道單詞 Riven(使用者名稱) 肯定出現在 user欄位,可以寫作 user:Riven;

3、單欄位的精確檢索:在搜尋單詞前後加雙引號,比如 user:"Riven";

4 、多個檢索條件的組合:可以使用 NOT, AND 和 OR 來組合檢索,注意必須是大寫。比如 user:("Riven" OR "riven")  AND NOT mesg:BUG;
    這個搜尋的全意是: 精確搜尋欄位值為"Riven""riven"並且mesg欄位值不能為BUG的資訊

5、欄位是否存在:_exists_:user 表示要求 user 欄位存在,_missing_:user 表示要求 user 欄位不存在;

6
 
、萬用字元:用 ? 表示單字母,* 表示任意個字母。比如 fir?t mess*;

7、正則:需要比萬用字元更復雜一點的表示式,可以使用正則。比如 mesg:/mes{2}ages?/。注意 ES 中正則效能很差,而且支援的功能也不是特別強大,儘量不要使用;

8、近似搜尋:用 ~ 表示搜尋單詞可能有一兩個字母寫的不對;

9、範圍搜尋:對數值和時間,ES 都可以使用範圍搜尋,比如:size:>300,date:["now-6h" TO "now"} 等。其中,**[] 表示端點數值包含在範圍內**,**{} 表示端點數值不包含在範圍內**;
以上九條就是ES全文搜尋的簡易語法使用,這些語法全部都可以在Kibana中的任何一個搜尋框內使用:

image

如果我想要搜尋帶有字元A的資訊:

2

如果我們要精確檢索一個單詞"params":

3

如果我把搜尋語句改為"params" NOT '回款' 則,帶回款字樣的資訊將不會在出現在展示列表裡面.
# 注意: 搜尋關係詞 必須大寫

4

其他的檢索語法和前面的例項並無不同,在這裡就不一一展示了,感興趣的同學可以自己試試.
還有一個不能被忽略的重要功能,那就是儲存基礎的搜尋簡易,以備下面的圖形化展示做鋪墊。
怎麼儲存呢?

image

搜尋建議怎麼用?在圖形制作細節我會進行介紹。


版權宣告:本文內容為轉載,版權歸作者所有。

ELK日誌監控分析系統Logstash詳解之——input模組

ELK日誌監控分析系統Logstash詳解之——filter模組

ELK日誌監控分析系統Logstash詳解之——output模組

ELK日誌分析Elasticsearch模組——語法基礎CRUD

ELK日誌分析Kibana——篩選語法基礎

ELK日誌分析Kibana——資料圖形化製作

相關推薦

ELK日誌分析Kibana——篩選語法基礎

摘要: ES全文搜尋的簡易語法是Kibana上使用的搜尋語法,一定需要學會,前一篇文章給出的只是基礎的、最根本的CRUD操作,是對單挑資料的操作,但是在Kibana中存在大量的搜尋和聚合,動輒上千萬的資料量,所以掌握好ES全文搜尋的語法就是使用Kibana的重要保證。 ES全文搜尋的

ELK日誌分析Elasticsearch模組——語法基礎CRUD

摘要: ElastICsearch的基本操作:增刪改查,有必要了解,以備不時之需. 增刪改查是資料庫的基礎操作方法。ES 雖然不是資料庫,但是很多場合下,都被人們當做一個文件型 NoSQL 資料庫在使用,原因自然是因為在介面和分散式架構層面的相似性。 ElastICsearch的基本

ELK日誌分析Kibana——資料圖形化製作

摘要: Kibana把資料圖形化,可以幫助我們更好的去分析資料,找到資料裡面的結構 注意看一下,上面縮看的介面,是一個聚合的結果,他是由CPU Usage圖表、System Load圖表、CPU usage over time圖表、 System Load over time圖表一起構造而

搭建ELK日誌分析平臺(下)—— 搭建kibana和logstash伺服器

轉:http://blog.51cto.com/zero01/2082794 筆記內容:搭建ELK日誌分析平臺——搭建kibana和logstash伺服器筆記日期:2018-03-03 27.6 安裝kibana 27.7 安裝logstash 27.8 配置logstas

ELK(實時日誌分析平臺)搭建必備基礎知識-------logstash

預熱:基礎知識        Logstash 是一個開源的資料收集引擎,它具有備實時資料傳輸能力。它可以統一過濾來自不同源的資料,並按照開發者的制定的規範輸出到目的地。 顧名思義,Logstash 收集資料物件就是日誌檔案。由於日誌檔案來源多(如:系統日

ELK(實時日誌分析平臺)搭建必備基礎知識-------filebeat

預熱:基礎知識        Beats是elastic公司的一款輕量級資料採集產品,它包含了幾個子產品: packetbeat(用於監控網路流量)、 filebeat(用於監聽日誌資料,可以替代logstash-input-file)、

ELK日誌分析系統 介紹 安裝配置

elkELK日誌分析系統一、ELK介紹 ELK顧名思義:是由Elasticsearch,Logstash 和 Kibana三部分組成的。 其中Elasticsearch 是一個實時的分布式搜索和分析引擎,它可以用於全文搜索,結構化搜索以及分析。它是一個建立在全文搜索引擎 Apache Lucene

ELK日誌分析系統搭建配置

elk我們主要用ELK日誌分析系統來分析Nginx訪問日誌,mysql慢查詢日誌,tomcat運行日誌以及系統日誌等。介紹:ELK:ElasticSearch+LogStash+Kibana=ElkStackElasticSearch:存儲、收索、分析(可以用solr替代)LogStash:收集器,輸入,處理

ELK 日誌分析系統

日誌 elk 分析系統 轉自:http://467754239.blog.51cto.com/4878013/1700828/ 一、簡介1、核心組成ELK由Elasticsearch、Logstash和Kibana三部分組件組成;Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式

ELK日誌分析平臺搭建全程

elk環境: OS:Centos 6.6 elasticsearch-5.6.3.tar.gzjdk-8u151-linux-x64.tar.gzkibana-5.6.3-linux-x86_64.tar.gzlogstash-5.6.3.tar.gznode-v6.11.4-linux-x64.tar

Linux的企業-ELK日誌分析

elk日誌分析一、簡介1、核心組成ELK由Elasticsearch、Logstash和Kibana三部分組件組成;Elasticsearch是個開源分布式搜索引擎,它的特點有:分布式,零配置,自動發現,索引自動分片,索引副本機制,restful風格接口,多數據源,自動搜索負載等。Logstash是一個完全開

Windows搭建Log4Net+FileBeat+ELK日誌分析系統過程以及問題總結

程序 列表 dia could 重新 font 無法 elk 遇到 安裝流程: 稍後補充 參考內容:http://udn.yyuap.com/thread-54591-1-1.html ; https://www.cnblogs.com/ya

Windows系統下Log4Net+FileBeat+ELK日誌分析系統問題總結

主機 2-0 ngs 提示 編碼 規則 ast 進行 同步問題 問題如下:1.FileBeat日誌報 "dial tcp 127.0.0.1:5544: connectex: No connection could be made because the target ma

ELK日誌分析平臺部署實錄

linux elk [root@king01 ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch[root@king01 ~]# vim /etc/yum.repos.d/elasticsearch.repo[elas

ELK日誌分析系統實踐

ELK一、ELK介紹 官網: https://www.elastic.co/cn/ 中文指南 https://legacy.gitbook.com/book/chenryn/elk-stack-guide-cn/details ELK Stack(5.0版本後)-->Elastic St

Docker 部署ELK 日誌分析

elk docker filebeat logstash sebp/elk Docker 部署ELK 日誌分析elk集成鏡像包 名字是 sebp/elk安裝 docke、啟動yum install dockeservice docker startDocker至少得分配3GB的內存;不然得

搭建ELK日誌分析平臺-分布式集群

CentOS7.3下ELK日誌分析系統集群搭建

rtu 服務器端 output 行修改 disco boot 刷新 客戶端 tst Elasticsearch是個基於Lucene實現的開源、分布式、restful的全文本搜索引擎,此外他還是一個分布式實時文檔存儲,其中每個文檔的每個filed均是可被索引的數據,且可被

十分鐘搭建和使用ELK日誌分析系統

工作 風格 true rank 分布式 array search 分布 sof 前言 為滿足研發可視化查看測試環境日誌的目的,準備采用EK+filebeat實現日誌可視化(ElasticSearch+Kibana+Filebeat)。題目為“十分鐘搭建和使用ELK日

在CentOS7中部署ELK日誌分析系統

-- worker lin config startup thead version 導入 使用 在CentOS7中部署ELK日誌分析系統 ELK原理介紹 什麽是ELK ELK是三個開源軟件的縮寫,分別表示:Elasticsearch , Logstash, Kibana