Kibana KQL查询语法

最新推荐文章于 2024-03-13 15:48:00 发布
最新推荐文章于 2024-03-13 15:48:00 发布
阅读量1.1w 收藏 15
点赞数 3
分类专栏: ELK 文章标签: kibana KQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy02268879/article/details/119889326
版权

一、KQL简单介绍

KQL(Kibana Query Language),也就是在Kibana上面进行查询时使用的语法。

Kibana中也可以使用Lucene的查询语法。

KQL可以参考https://www.elastic.co/guide/en/kibana/current/kuery-query.html#_terms_query

二、KQL查询语法

1.Terms Query

说人话就是根据列名查那一列的内容

比如说我收集的日志内容都在列message中的。

现在我要查询日志带有select字符的。那就是

message:select

上面这个表达式,会查询出message字段中包含select的文档对象,注意是包含,包含的是select这一个词,比如下面这个种情况都会被查询出来

但是selection是不会被查出来的。这里查的都是词!词!

这个com.sid.controller.TestController.select也不会被查出来,默认是用空格分词的,不会用.分词。

 引号的使用

message:hello word

这个是搜索message中包含hello,或者包含world,或者两者都包含的情况。

如果只需要把整个hello word一起查询出来。则使用引号

message:"hello word"

2.Boolean queries

KQL支持or   and  not查询

其中and的优先级高于or

response:200 or extension:php

 匹配response列有200,或者extension列有php的内容

response:200 and extension:php

  匹配response列有200,并且extension列有php的内容

response:(200 or 404)

 匹配response列有200或者404的内容

response:200 and (extension:php or extension:css)

  匹配response列有200,并且extension列有php或者css的内容 

response:200 and extension:php or extension:css

  匹配response列有200并且extension列有php的内容。或者extension列有css的内容  

not response:200

 匹配response列没有200的内容

response:200 and not (extension:php or extension:css)

   匹配response列有200,并且extension列没有php、css的内容

tags:(success and info and security)

 匹配tags列有success并且有info并且有security的内容

3.Range queries

KQL支持对数字和日志列使用 <   <=  >  >=

account_number >= 100 and items_sold <= 200

4.Date range queries

@timestamp < "2021-01-02T21:55:59"

@timestamp < "2021-01"

@timestamp < "2021"

5.Exist queries

response:*

匹配所有response字段存在的文档(无论其值为多少) 

6.Wildcard queries

machine.os:win*

匹配machine.os字段中以win开头的内容 

machine.os*:windows 10

这是匹配了多个字段,匹配了以machine.os字段开头的所有字段里面有windows 10的内容

jy02268879
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kibana查询语言(KQL
qq_26337263的博客
10-19 372
Kibana查询语言(KQL
KibanaKQL的使用
qq_37289115的博客
02-07 4775
简单查询 简单查询就是 关键字匹配、字符串包含等,比如说如下语句会找出 name 字段是 banana 的所有数据: name: banana 但是如果 name 包含 peach 和 peach test,然后下面两个语句查出来会是两个结果。 name: peach test 上述查询会将 name 是 peach 和 name 是 peach test 的都给查出来 name: "peach test" 上述查询只会将 peach test 查出来,因为如果不加引号会自动关键字分词,将包含该关键字
blue-teaming-with-kql:具有样本KQL查询示例的存储库,用于威胁搜寻
02-04
blue-teaming-with-kql:具有样本KQL查询示例的存储库,用于威胁搜寻
Kibana中的KQL语法
最新发布
blood_Z的博客
03-13 521
【代码】Kibana中的KQL语法
kql:Kirby的查询语言API结合了Kirby数据结构的灵活性,GraphQL的强大功能和REST的简单性
05-09
柯比QL Kirby的查询语言API结合了Kirby数据结构的灵活性,GraphQL的强大功能和REST的简单性。 Kirby QL API接收带有标准JSON对象的POST请求,并返回适合您的应用程序的高度定制的结果。 例子 POST:/ api / query { " query " : " page('photography').children " , " select " : { " url " : true , " title " : true , " text " : " page.text.markdown " , " images " : { " query " : " page.images " , " select " : {
KQLpublic:我有用的KQL和Azure Monitor工作簿(公开)
05-07
我的实用KQL和Azure Monitor工作簿商店(公共共享) 您可能会发现有用的KQL和Azure Monitor工作簿 工作簿-如何导入和导出: 在文件中重复执行此操作(在RAW模式下打开说明文件,然后下载以查看屏幕截图),请参阅workbooks文件夹中的说明: 安装说明: 选择[RAW]按钮,[复制]工作簿文件内容(这些是JSON文件),打开Azure Monitor工作簿(来自portal.azure.com)-在“高级编辑”模式下打开“空” Azure Monitor工作簿(按</>图标)。 请[粘贴]存在的任何json。 然后按[应用],然后按[完成编辑] 出口: 打开Azure Monitor工作簿 在“高级编辑”模式下(按</>图标)-为JSON文件或ARM选择“图库模板”,然后按蓝色箭头(在[应用]按钮的左侧)以下载文件
Kibana--KQL和Lucene的区别
IT利刃出鞘的博客
08-08 1069
本文介绍KQL和Lucene的区别。 KQL和Lucene都是Kibana支持的查询语言,这两种语言差别不大。
Kibana 使用 KQL 查询语法-kibana 常用查询语法
热门推荐
长河的博客
06-02 2万+
Kibana 查询语言 (KQL) 是一种使用自由文本搜索或基于字段的搜索过滤 Elasticsearch 数据的简单语法KQL 仅用于过滤数据,并没有对数据进行排序或聚合的作用。 KQL 能够在您键入时建议字段名称、值和运算符。 建议的性能由 Kibana 设置控制。 KQL 具有与 Lucene 查询语法不同的一组特性。 KQL 能够查询嵌套字段和脚本字段。 KQL 不支持正则表达式或使用模糊术语进行搜索。 要使用旧版 Lucene 语法,请单击搜索字段旁边的 KQL,然后关闭 KQL。 术语
Kibana搜索数据利器:KQL与Lucene
程序员Forlan的博客
12-14 1700
本文深入探讨了KQL和Lucene两种查询语言在数据搜索中的应用,涵盖了字段搜索、逻辑运算符、通配符、存在性检查、括号等多个方面的使用方法和实例。通过本文,读者将能更全面地掌握这两种查询语言,提升数据搜索的效率和精确度。
Kibana KQL语法
进击的小白
04-21 566
Kibana 的 Discover 和 Visualize 界面中,可以使用查询栏来输入 Lucene 查询语句,然后按下 Enter 键进行查询。()
kql.rar_学生 管理
09-22
可以实现人事管理的查询 对一般的学生的学习C++BUILDER有一定的帮助
kusto查询:用于学习kusto语言的示例查询
02-05
kusto查询:用于学习kusto语言的示例查询
KibanaKibana Query Language - KQL
Elastic 中国社区官方博客
07-28 4779
Kibana Query Language (KQL) 是一种使用自由文本搜索或基于字段的搜索过滤 Elasticsearch 数据的简单语法KQL 仅用于过滤数据,并没有对数据进行排序或聚合的作用。 KQL 能够在你键入时建议字段名称、值和运算符。 建议的性能由 Kibana 设置控制: 在上面的搜索框的右边,我们可以看到 KQL 字样。它表明当前的模式是 KQL 查询KQL 具有与 Lucene 查询语法不同的一组功能。 KQL 能够查询嵌套字段和脚本字段。 KQL 不支持正则表达式或
用KUSTO查询语句(KQL)在Azure Data Explorer Database上查询LOG实战
zyypjc的博客
08-03 880
最近公司将一张平时存放在Azure托管实例里的Audit_log表整体迁移到Azure Data Explorer Database来存储。所以本文中我会先整理归纳Azure Data Explorer Database的基本概念,然后将试着用一个简单的例子来实战说明。......
Kibana--KQL查询语法的使用
IT利刃出鞘的博客
08-15 3240
本文介绍Kinaba的KQL查询语法的使用。
Kibana语句整理(KQL
打不死的小强lee的博客
06-16 1万+
基于elasticsearch 7.6.1 索引模板 创建index template PUT /_template/模板名称 { "index_patterns":["正则,匹配该模板应用的索引"], "order":"数值,模板优先级", "settings":{ "settinngs相关配置" }, "mappings":{ "mappings相关配置" } } 查询index template GET /_template/template_name 索引 索引定
kibana语法_kibana学习
weixin_31235395的博客
01-22 406
Elasticsearch Top5典型应用场景 https://blog.csdn.net/laoyang360/article/details/82728797 本文并不介绍kibana的用法,只介绍我从kibana中学习到的新的东西(思想)KQL (关键字查询语言)KQL是比sql语法更简单、更直观的查询语言https://docs.microsoft.com/zh-cn/sharepoin...
kibana查询语句
08-10
Kibana 提供了一个查询语言叫做 KQLKibana Query Language),它是基于 Lucene 查询语法的简化版本。 以下是一些常见的 KQL 查询语句示例: 1. 匹配特定字段中的值: ``` field_name: value ``` 2. 模糊匹配...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值