ELK 查询语法

最新推荐文章于 2024-06-21 19:27:24 发布
最新推荐文章于 2024-06-21 19:27:24 发布
阅读量8.9k 收藏 2
点赞数 1
分类专栏: 术(知识点) 文章标签: ELK查询语法 交集 并集 取反
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG772EF/article/details/81262261
版权

文章目录

前言

主要是针对 discover查询中与或非条件的使用介绍,贴了一些的示例

定义查询条件 A: *ImAbstractObject, B: 910001584, C: H_GOODS.

逻辑操作. 多个条件组合

与、或、非 三种关系

  • 或 AND(大写) : 表示与
    默认(缺省) 或 OR(大写):表示或
  • 或 NOT(大写): 表示非

场景一:求并集,多个条件任意满足

数学符号: A ∪ B ∪ C (A 或 B 或 C)
三个条件满足一个即可 (默认是并集)。 下面两个截图表示的是同一个含义,两种写法
这里写图片描述

这里写图片描述

场景二: 求交集,多个条件均需满足

数学符号表示为: ( A ∩ ﹁B ) ∪ ( (A ∩ ﹁B ∩ C )
可等效简化为: A ∩ ﹁B
tip: 这个表示的信息,和数学上的条件组合有所差别. 如果想表示 (A ∩ ﹁B) ∪ C. 请使用分组, 用()包含起来,见下面的场景
以下查询条件表示: A必须存在,B必须不存在,C可有可无.
这里写图片描述

这里写图片描述

场景三 条件取反,不包含某个条件

数学符号:(A ∩ ﹁B) ∪ C
以下表示:(A ∩ ﹁B) ∪ C . 即 (A 且 非B) 或 C .
下面的小括号表示对条件进行分组. 括号的优先级最高。
查询条件表示:(结果集1:A必须存在,B必须不存在) U (结果集2:C必须存在) 这两个结果集的并集
这里写图片描述
这里写图片描述

对字段查询

单字段查询

message中,(A ∩ ﹁B) ∩ C
这里写图片描述

多字段查询

message字段和host字段都必须满足下面输入的查询条件
这里写图片描述

网上摘抄的示例

http://blog.csdn.net/wzygis/article/details/52100425
全文搜索
在搜索栏输入login,会返回所有字段值中包含login的文档

使用双引号包起来作为一个短语搜索
“like Gecko”
这里写图片描述

字段
也可以按页面左侧显示的字段搜索
限定字段全文搜索:field:value
精确搜索:关键字加上双引号 filed:“value”
http.code:404 搜索http状态码为404的文档

字段本身是否存在
exists:http:返回结果中需要有http字段
missing:http:不能含有http字段

通配符
? 匹配单个字符

  • 匹配0到多个字符

kiba?a, el*search

? * 不能用作第一个字符,例如:?text *text
正则
es支持部分正则功能
mesg:/mes{2}ages?/

模糊搜索
:在一个单词后面加上启用模糊搜索

first~ 也能匹配到 frist

还可以指定需要多少相似度
cromm~0.3 会匹配到 from 和 chrome
数值范围0.0 ~ 1.0,默认0.5,越大越接近搜索的原始值

近似搜索
在短语后面加上~
“select where”~3 表示 select 和 where 中间隔着3个单词以内

范围搜索
数值和时间类型的字段可以对某一范围进行查询
length:[100 TO 200]
date:{“now-6h” TO “now”}
[ ] 表示端点数值包含在范围内,{ } 表示端点数值不包含在范围内

逻辑操作
AND
OR

+:搜索结果中必须包含此项
-:不能含有此项
+apache -jakarta test:结果中必须存在apache,不能有jakarta,test可有可无

分组
(jakarta OR apache) AND jakarta

字段分组
title:(+return +“pink panther”)

转义特殊字符

    • && || ! () {} [] ^" ~ * ? : \

以上字符当作值搜索的时候需要用\转义

【随风飘流】
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elk stack中文教程
02-17
ELK stack中文教材 基于5.0版本 详细书签 很详细的PDF 值得收藏与下载
ELK语法命令.txt
04-26
ELK语法命令--- 集合 1、启动Logstash 1) ./logstash -e 'input{stdin{}} output{stdout{}}' 2) ./logstash -e 'input{stdin{}} output{stdout{ codec => json}}' #输出格式使用json格式 3) ./logstash -e 'input{...
ELK】Elasticsearch入门04 -- 基础语法 查询语法(全文检索、多字段匹配、词条匹配、模糊检索、结果过滤)
qq_36615278的博客
04-28 1915
ELK】Elasticsearch入门03 – 基础语法 查询语法(全文检索、多字段匹配、词条匹配、模糊检索、结果过滤)   查询所有数据 GET /索引名/_search { "query" : { "match_all": {} } } GET /test/_search { "query" : { "match_all": {} } } 返回 { "took" : 0, "timed_out" : false, "_shards" : {
ELK技术介绍:背景、功能及应用场景全面解析
weixin_54533548的博客
04-25 1999
ELK是由Elasticsearch、Logstash和Kibana三个开源软件组成的日志管理解决方案,这一组合在近年来得到了广泛的关注和应用。ELK的出现,源于大数据和云计算技术的快速发展,以及对高效日志管理的迫切需求。随着企业信息化程度的提高,各类应用系统和服务器产生的日志数据量日益庞大,如何有效收集、处理、分析和利用这些日志数据,成为了企业和开发者面临的重要问题。传统的日志管理方式往往效率低下,无法满足实时性、可扩展性和易用性的需求。
ElasticSearch搜索语法学习(term,filter,bool,terms,range)
努力努力再努力L
11-02 3521
ES搜索语法学习 目录 原始数据 term,filter使用 bool组合多个filter条件来搜索数据 terms搜索多个值以及多值搜索结果优化 基于range filter来进行范围过滤 手动控制全文检索结果的精准度 dis_max实现best fields策略进行多字段搜索 1. term,filter使用 0. 原始数据(目录1~2使用) POST /forum/article/_bulk { "index": { "_id": 1 }} { "articleID" : "XHDK-A-1
ELK Kibana搜索框模糊搜索包含包含
最新发布
flyfelu的博客
06-21 296
默认是KQL,点击切换Lucene搜索,搜索日志中包含Exception关键字,不包含BizException、IllegalArgumentException、DATA_SYNC_EXCEPTION关键字的日志,如下:
elk查询语法
xixingzhe2的博客
05-14 5946
1、语法 ELK中的elasticsearch构建在Lucene之上,过滤器语法和Lucene相同。 2、查询 2.1全文搜索 在搜索栏输入2019-05-14,会返回所有字段值中包含2019-05-14的文档 2.2 短语查询 使用双引号包起来作为一个短语搜索"191 - courseDomain" 2.3字段 也可以按页面左侧显示的字段搜索 限定字段全文搜索:fie...
ElasticSearch基本概念
程序员小强的博客
12-12 6030
1.简介 Elasticsearch是一个基于Lucene的搜索服务器。提供了一个分布式多用户能力的全文搜索引擎 基于Restful web接口。 Java语言开发的 Elasticsearch的功能 分布式的文档存储引擎 分布式的搜索引擎和分析引擎 分布式,支持PB级数据 全文检索,结构化检索,数据分析 对海量数据进行近实时的处理 相关网站: 官网:传送门 官网文档:传送门 中文手册:传送门 中文社区:传送门 Jave-Client : 传送门 2.索引(Index) 索引是文档(Docume
elasticsearch中查询/删除不包含某个字段的document
QYHuiiQ
06-09 1万+
查询包含某个字段的数据: ​GET /index-name/_search { "query" : { "bool" : { "must_not" : { "exists" : { "field" : "要查询的不包含的字段名" } ...
ELK logstash中grok使用if判断消息是否包含某个字符串及以某个字符开头
夏已微凉、
09-28 7242
一、语法二、使用三、相关文章 一、语法 使用条件来决定filter和output处理特定的事件。logstash条件类似于编程语言。条件支持if、else if、else语句,可以嵌套。 [ 比较操作 ] 相等: ==,!=, <,>,<=, >= 正则: =~(匹配正则), !~(不匹配正则) 包含: in(包含), not in(不包含) [ 布尔操作 ] and(与), or(或), nand(非与), xor(非或) [ 一元运算符 ] !(取反) ()(复合表达式).
Teradata语法迁移到elk
06-05
Teradata语法迁移Teradata语法迁移Teradata语法迁移Teradata语法迁移Teradata语法迁移
ELK日志分析系统.pptx
01-04
* 处理方式灵活:ELASTICSEARCH 采用 JSON 接口,LOGSTASH 是 RUBY DSL 设计,都是目前最通用的配置语法设计。 * 检索性能高效:虽然每次查询都是实时计算,但是优秀的设计和实现基本可以达到全天数据查询的秒级响应...
ELKstack权威指南
02-03
书中会详细讲解Elasticsearch的安装配置、索引管理、查询语法、聚合分析以及集群搭建等关键知识点。 Logstash是数据收集和处理的利器,它可以接收各种来源的日志数据,通过配置各种插件进行清洗、转换,并将数据推...
ELK kibana查询与过滤
yzx3105的博客
06-07 1万+
Kibana拆分字段的时候,可能是根据空格拆分的。 例如:nested exception is java.net.SocketTimeoutException: Read timed out , 单独搜索 nested ,exception 都可以,但单独搜索 SocketTimeoutException 是搜不到的。 但是java.net.SocketTimeoutException可以搜索到。 1. 使用双引号包起来作为一个短语搜索: “like Gecko” 2. ? 匹配单个字符; * 匹配0到
elk日志查询常用语法
g200000的博客
07-09 1308
很多系统的日志都会放在 Kibana 供查询,就是所谓的 ELK。Kibana 除了可以使用界面供的一些 tab 或者 button 去筛选日志,也可以在搜索栏中使用Lucene的语法简单的交互式查询。可以做基于字段的特定搜索,过滤数据,也可以查看索引号的文档。查询语法可以参考,包括正则语法和其他模糊匹配方法。
ELK常用语法和线上问题排查
Crecendow
08-03 1047
在搜索栏输入目标值,查询所有字段中包含该值的文档案例:用户反馈了一串id或者其他同事给了一个jobid,还没有头绪怎么查的时候,直接全局搜索jobid。
ELK日志分析Kibana——筛选语法基础
热门推荐
山东梅长苏
03-14 1万+
摘要: ES全文搜索的简易语法是Kibana上使用的搜索语法,一定需要学会,前一篇文章给出的只是基础的、最根本的CRUD操作,是对单挑数据的操作,但是在Kibana中存在大量的搜索和聚合,动辄上千万的数据量,所以掌握好ES全文搜索的语法就是使用Kibana的重要保证。ES全文搜索的简易语法是Kibana上使用的搜索语法,一定需要学会,前一篇文章给出的只是基础的、最根本的CRUD操作,是对单挑数据的...
ELK学习笔记之Kibana查询和使用说明
weixin_30455661的博客
05-27 251
0x00 概述 elasticsearch构建在Lucene之上,过滤器语法和Lucene相同 Kibana接口概述 Kibana接口分为四个主要部分: 发现 可视化 仪表板 设置 我们将按照列出的顺序浏览每个部分的基础知识,并演示如何使用每个接口。 0x01 Kibana探索 当您第一次连接到Kibana 4时,您将进...
Ansible部署ELK
09-02
Ansible是一种自动化工具,可以帮助您简化和自动化部署、配置和管理服务器和应用程序。要使用Ansible部署ELK(Elasticsearch、Logstash和Kibana),您可以按照以下步骤进行操作: 1. 安装Ansible:在您的控制机上安装Ansible。您可以根据操作系统的不同,使用适当的方法进行安装。 2. 创建Ansible Inventory:创建一个Ansible Inventory文件,其中包含您要部署ELK的目标服务器的信息。您可以指定主机IP地址、用户名和密码等详细信息。 3. 创建Ansible Playbook:使用YAML语法创建一个Ansible Playbook文件,用于定义ELK部署的任务和步骤。您可以在Playbook中指定需要安装的软件包、配置文件、服务启动等操作。 4. 编写Ansible Roles:根据需要,可以使用Ansible Roles来组织和管理Playbook中的任务。Roles可以将相关的任务分组,并使Playbook更易于维护和扩展。 5. 执行Ansible Playbook:使用ansible-playbook命令执行您编写的Playbook文件。Ansible将自动连接到目标服务器,并按照您定义的步骤进行ELK部署。 6. 验证ELK部署:完成部署后,验证ELK堆栈是否正常工作。您可以通过访问Elasticsearch、Logstash和Kibana的Web界面,并尝试发送和搜索日志数据来进行验证。 请注意,以上步骤仅为概述,并且在实际部署过程中可能需要进行一些特定配置和调整。建议您参考Ansible和ELK的官方文档以获取更详细的部署指南和最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值