ELK系列-如何在Kibana中快速定位你想要的日志

最新推荐文章于 2024-05-08 09:02:59 发布
最新推荐文章于 2024-05-08 09:02:59 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: 运维 文章标签: elasticsearch 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leepan1990/article/details/115211006
版权

文章目录

前言

前面我们讲了ELK系列文章的安装备份和恢复,咱们今天来说说如何在Kibana中搜索你想要的日志,下面列举一些比较常用的搜索方式,以便快速定位到你想要的日志,从而进一步对日志进行分析并解决问题。下面我们就直接开工列举方式。

二、使用步骤

1.文本搜索

只需输入一个文本字符串。例如,如果您正在搜索web服务器日志,您可以输入safari来搜索术语safari的所有字段

2.特定字段中搜索

用字段的名称作为值的前缀。例如,您可以输入status:200来查找在status字段中包含值为200的所有条目。例子如下:

  1. status字段包含active。表达式为:status:active

  2. title字段包含quick或black。如果省略OR操作符,则使用默认操作符。表达式为:title:(quick OR black) 或者 title:(quick black)

  3. 其中author字段包含确切的短语“Jack”。表达式为:author:"Jack"

  4. 实体类多个字段混合查询如:book.content、book.name、book.date包含quick或black(注意我们需要用反斜杠来转义*)。表达式为:

book.*:(quick black)

  1. title字段有任何非空值。表达式为:_exists_:title

3.通配符搜索

通配符搜索可以在单独的条件上运行,使用?替换单个字符,*替换零个或多个字符。表达式为:qu?ck bla*。唯一要注意的是通配符查询可能会使用大量内存,并且性能非常差,你想想需要查询多少项才能匹配查询字符串“a* b* c*”。

4.正则表达式搜索

正则表达式可以通过将查询字符串包装在前后斜杠("/")中,例如: name:/joh?n(ath[oa]n)/。更多语法参考官网传送门

5.模糊搜索

我们可以使用“~”操作符来搜索与我们搜索词相似但又不完全相似的词,例如:quikc~ brwn~ foks~

6.近似搜索

邻近查询允许指定的单词间隔更远或以不同的顺序。

7.范围值搜索

可以为日期、数字或字符串字段指定范围。包含范围用方括号[最小到最大]指定,排除范围用花括号{最小到最大}指定。

  1. 2021年全天
    date:[2021-01-01 TO 2021-12-31]
  2. 数字1-5
    count:[1 TO 5]
  3. alpha和omega之间的tag,不包括alpha和omega
    tag:{alpha TO omega}
  4. 10以上的数字
    count:[10 TO *]
  5. 在2021年之前的日期
    date:{* TO 2021-01-01}
  6. 从1到但不包括5的数字
    count:[1 TO 5}
  7. 一侧为无界的范围可以使用以下语法:
	age:>10
	age:>=10
	age:<10
	age:<=10
  1. 将上下边界与简化的语法结合起来,需要用and操作符连接两个子句:
	age:(>=10 AND <20)
	age:(+>=10 +<20)

8.关键字搜索

使用关键字操作符^使一个术语比另一个术语更相关。例如,如果我们想找到所有关于猫的信息,但我们对quick cat特别感兴趣:

quick^2 cat

^默认值是1,但可以是任何正浮点数。0到1会降低相关性。
也可以用于短语或群体:
"Jack"^2 (food)^4

9.布尔操作符搜索

默认情况下,只要有一个术语匹配,所有术语都是可选的。搜索foo bar baz将找到包含一个或多个foo或bar或baz的任何文档。
首选的操作符是+(这个项必须存在)和-(这个项必须不存在)。其他条款均为可选条款。例如,这个查询:
quick black+cat-news
cat 必须有的
news 必须不存在
quick和black是可选的,它们的存在增加了相关性
也支持熟悉的运算符AND、OR和NOT(也写为&&、||和!)。然而,这些操作符的影响可能比乍一看更复杂。NOT优先于AND, which优先于OR。而+和-只影响操作符右边的项,和和或可以影响左边和右边的项
((quick AND cat) OR (brown AND cat) OR cat) AND NOT news

10.组合搜索

多个术语或子句可以用括号组合在一起,形成子查询。
(quick OR brown) AND cat
组合搜索可以用于针对特定字段,或者增强子查询的结果。
status:(active OR pending) title:(full text search)^2

11.保留字符查询

\+ - = && || > < ! ( ) { } [ ] ^ " ~ * ? : \ /
如果您需要在查询中使用以上作为操作符的字符(而不是作为操作符),那么您应该用反斜杠进行转义。

12.空查询

如果查询字符串为空或仅包含空格,则查询将生成一个空结果集。

总结

通过以上的一些操作基本满足了工作中的需要,更重要是来一套组合并灵和运用。多加练习吧!

leepan1024
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kibana文指南 ELK-guide-cn.rar
07-20
ELK Stack 是 Elasticsearch、Logstash、Kibana 三个开源软件的组合。在实时数据检索和分析场合,三者通常是配合共用 本书知识主要针对的具体版本号: Logstash-1.5 Elasticsearch-1.7 Kibana-4.3
kibana 日志查询技巧_Kibana技巧与窍门:如何在“发现”模式下查看事件
cullen2012的博客
09-09 9445
kibana 日志查询技巧 Hi Habrausers! 您好Habrausers! As you may know Kibana is a visualization instrument, part of 您可能知道,Kibana是一种可视化工具,是ELK (Elastic, Logstash, Kibana) stack. With the help of Kibana you ma...
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 170
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
实战Kibana日志关键词搜索和日志可视化,2024年软件测试开发者跳槽指南
2401_84240129的博客
04-19 1059
可以看到里面有“play_name”、“speaker”、“speech_number”、"line_id"等等名称,每个名称后面都有一个对应的值。“speaker” : {“type”: “string”, “index” : “not_analyzed” }, #确定type是字符。在启动Kibana后,Kibana会自动在配置的es创建一个名为.kibana的索引(上图第二个),这个索引用来存储数据,注意!这个时候就能看见这位伯爵大哥的台词细节,在第几场的第几节,说的是什么台词。
elk日志 elastic(kibana)】
娜娜丫的博客
02-19 1174
每次查日志,我都需要别人帮我,时间长了总觉得不好意思,所以这次下定决心好好的梳理一下,怎么查日志
elk(elasticsearch+logstash+kibana)搭建日志监控平台
who_I_am__的博客
11-05 3889
基于 ELK(Elasticsearch、Logstash、Kibana)技术栈搭建了一个日志监控平台。
kibana查看日志
BJ1599449的博客
03-05 1万+
kibana查看日志的基本使用和常用方法
Kibana查看应用日志
热门推荐
兰星_thk&try的博客
08-19 1万+
文章目录1 问题2 如何搜索应用3 如何查看指定时间的应用日志4 如何定位错误日志5 如何展开显示日志6 如何格式化日志 1 问题 有很多应用, 每个应用又配置了开发与生产环境,每个环境还区分了应用/Nginx/server三种日志 (CHANGE INDEX PATTERN的选项) 日志不知道如何展开,看不全 2 如何搜索应用 open->输入关键字搜索->选择应用 3 如何查看指定时间的应用日志 选择dev-log(应该也是自定义配置)->右上角选择时
elk之如何在kibana高效精准查询日志
sinstar1的博客
05-11 1万+
elk是我们常用的日志查询系统,使用高效的查询方法能使我们快速定位日志以及解决问题; 精准模糊匹配关键字,类似 mysql:like %seven% 在搜索框对关键字添加双引号即可 : eg: “seven” 多个关键字同时模糊匹配 多个关键词双引号后使用and连接 eg: "0eca9570-6441-4e2e-9d2c-09eb5764506b" and "夏艺桐" 更多kibana查询语法 当然还有更多的查询姿势,这里不一一举例,他们的使用方法如下: 1、要搜索一个确切的字符串,即精确搜索
【2.3 分布式日志ELK)】一文讲懂Kibana入门介绍与使用
本本本添哥
02-08 1052
Kibana 是一个开源的分析和可视化平台,Kibana 提供搜索、查看和与存储在 Elasticsearch 索引的数据进行交互的功能。开发者或运维人员可以轻松地执行高级数据分析,并在各种图表、表格和地图可视化数据。一款开源的数据分析和可视化平台一个免费且开放的用户界面Elastic Stack 成员之一设计用于和 ElasticSearch ES协作,读取ES的数据,并进行可视化展示。对 ES数据进行可视化,并在 Elastic Stack 进行导航。
docker-elk-kibana:Kibana 泊坞窗图像
06-14
ELK - Kibana 图像 Kibana 4 图像用于使用图构建 ELK 堆栈。 参见
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档的主类型。 第二种类型是...
ELK日志分析系统-kibana-5.4.2
10-19
ELK日志分析系统kibana安装包,是最新的版本5.4.2
go-elk-stack:Elasticsearch-Logstash-Kibana-Golang
05-18
:french_fries: 这个简单的项目演示了Elasticsearch-Logstash-Kibina(ELK)与Golang的集成 去栈 没有Web框架,使用本机运行 DEP的包管理brew install dep 杜松子酒进行实时重新加载, go get github....
2024年最全实战Kibana日志关键词搜索和日志可视化,2024年最新月薪30K
最新发布
2301_76379671的博客
05-08 814
可以看到里面有“play_name”、“speaker”、“speech_number”、"line_id"等等名称,每个名称后面都有一个对应的值。在启动Kibana后,Kibana会自动在配置的es创建一个名为.kibana的索引(上图第二个),这个索引用来存储数据,注意!这个时候就能看见这位伯爵大哥的台词细节,在第几场的第几节,说的是什么台词。系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。如果我搜寻line_id的第一行到第三行,那么语句就是。
日志检索方案—Kibana展示平台的使用
shenzhen_zsw的专栏
05-06 1248
Kibana展示平台的使用 访问Kibana平台 http://192.168.2.10:5601 Management菜单 步骤1 步骤2 步骤3 Discover菜单 1)Discover主页 2)右上角可以选择时间 3)左边可以选择我们感兴趣的字段 4)多条件查询 说明: trace:56e2241ac7473c4e AND msg:*discovery* 1)通过trace和...
【项目实战】Kibana 搜索框查询日志技巧
本本本添哥
04-12 212
Kibana 是一款强大的数据可视化工具,尤其适用于处理和分析日志数据,它是 Elastic Stack(ELK:Elasticsearch、Logstash、Kibana的重要组成部分。(1)在 Kibana ,通过其搜索框灵活运用各种查询技巧来高效地筛选和分析日志信息。(2)Kibana的搜索框支持多种查询技巧,可以更有效地查询和分析日志数据。(3)Kibana搜索框查询日志的技巧主要涉及到对查询语法的理解和灵活运用。
kibana日志搜索规则及搜索界面显示处理
shizhihua11的博客
11-19 4123
项目调用ES日志检索接口,实现简单的日志界面展示;操作数据,然后通过数据去渲染页面,而不是直接操作DOM 日志检索语法 简单的对基本的语法做一个总结 1.语法关键字 + - && || ! ( ) { } [ ] ^ “ ~ * ? : / 如果所要查询的查询词本身包含关键字,则需要用\进行转义(注意是本身!) 例1:rvm:5100/kibana/kibana:6.7...
springboot集成elk
09-10
Springboot集成ELK是指使用Springboot开发的模块,通过集成ELK(Elasticsearch、Logstash、Kibana)实现日志的收集和展示。ELK是一套用于日志处理和可视化的开源工具组合。 要实现Springboot集成ELK,首先需要安装Docker和Docker Compose。Docker Compose是一个用于定义和运行多个Docker容器的工具。可以通过Docker Compose搭建ELK环境。 具体的步骤如下: 1. 首先,安装Docker和Docker Compose。 2. 创建一个Docker Compose文件,定义ELK环境的容器配置,包括Elasticsearch、Logstash和Kibana。 3. 在Docker Compose文件配置Elasticsearch、Logstash和Kibana的相关参数,如端口号、数据存储路径等。 4. 运行Docker Compose命令,启动ELK环境。 5. 在Springboot应用的配置文件配置日志输出到Logstash的地址和端口。 6. 启动Springboot应用,日志将被发送到Logstash进行收集和处理。 7. 打开Kibana的界面,配置索引模式和可视化图表,即可展示和分析日志数据。 通过以上步骤,就可以实现Springboot集成ELK,实现日志的收集和展示。这样可以方便地监控和分析应用的运行情况,帮助开发者快速定位和解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值