kinana 查询数据

最新推荐文章于 2022-08-14 14:12:42 发布
最新推荐文章于 2022-08-14 14:12:42 发布
阅读量652 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28808697/article/details/97660604
版权

term查询是代表完全匹配,即不进行分词器分析,文档中必须包含整个搜索的词汇。 term查询返回在提供的字段中包含确切term的文档。可以使用term查询根据精确的值(例如价格,产品ID或用户名)查找文档。

match也能模糊匹配,并且不区分字段值的大小写。match模糊匹配,先对输入进行分词,对分词后的结果进行查询,文档只要包含match查询条件的一部分就会被返回。match是用于执行全文查询的标准查询,包括模糊匹配和短语或接近查询。

 

和match查询类似,match_phrase查询首先解析查询字符串来产生一个词条列表。然后会搜索所有的词条,但只保留包含了所有搜索词条的文档,并且词条的位置要邻接。match_phrase 不区分大小写。 match_phrase用于匹配完全匹配的词组或单词接近匹配

对于匹配了短语"quick brown fox"的文档,下面的条件必须为true:

  • quick、brown和fox必须全部出现在某个字段中。
  • brown的位置必须比quick的位置大1。
  • fox的位置必须比quick的位置大2。

注意:如果在查询字符串的中间有通配符* (开头有*无所谓),就应该用wildcard查询,不用match_phrase查询。例如:

wildcard查询不会对查询字符串分词,也不会将查询字符串变成小写(所以要手动将查询字符串变成小写),file_name.keyword数据类型也不会被分词,最后能够匹配想要的结果。

{
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event_id": "11"
          }
        },
        {
          "match": {
            "process_name": "powershell.exe"
          }
        },
        {
          "wildcard": {
            "file_name.keyword": "*\\__psscriptpolicytest_*.ps1"
          }
        }
      ]
    }
  }
}

 

 

multi_match查询以match查询为基础,以允许多字段查询:

 

如下所示,在ES中New-Object System.Xml.XmlDocument存储的是小写形式,但是match语句写成大写,依然可以查询到相应的数据。

GET logs-endpoint-winevent-*-2019.12.27/_search
{
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "process_parent_name": "cmd.exe"
          }
        },
        {
          "match": {
            "process_name": "powershell.exe"
          }
        },
        {
          "match": {
            "process_command_line": "*New-Object System.Xml.XmlDocument*"
          }
        }
      ]
    }
  }
}

wildcard 查询时要在字段名后面加上keyword,而且区分字段值的大小写。如下所示:

GET logs-endpoint-winevent-*-2019.12.27/_search
{
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "process_parent_name": "cmd.exe"
          }
        },
        {
          "match": {
            "process_name": "powershell.exe"
          }
        },
        {
          "wildcard": {
            "process_command_line.keyword": "*new-object system.xml.xmldocument*"
          }
        }
      ]
    }
  }
}

 

3、查询多级结构时,使用点号隔开,例如:

 

GET logs-endpoint-winevent-sysmon-2019.07.29/_search
{
  "query": {
    "term": {
      "winlog.process.thread.id": {
        "value": 2444
      }
    }
  }
}

要从_source下一级字段开始,winlog就是在_source下一级字段。

4、增加查询返回的结果条数,from/size,例如:

GET logs-endpoint-winevent-sysmon-2019.11.05/_search
{
  "from" : 0, "size" : 40,
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "process_name": "net.exe"
          }
        },
        {
          "match": {
            "process_command_line": "net use"
          }
        }
      ]
    }
  }
}

 "from" : 0, "size" : 40, 将返回从0到最大40条记录

参考:from/Size

5、aggregation

Elasticsearch聚合使您能够获取有关搜索结果的元信息,并回答诸如“德克萨斯州有多少个帐户持有人”之类的问题。 或“田纳西州的平均帐户余额是多少?” 您可以在一个请求中搜索文档,过滤返回的结果并使用汇总分析结果。

  "aggs": {
    "process_command_line_count": {
      "terms": {
        "field": "process_command_line.keyword",
          "order": {
          "_count": "desc"
        },
        "min_doc_count": 4
      }
    }
  }

该聚合是对process_command_line字段进行聚合,返回process_command_line字段的值出现的次数大于等于4的情况。 

6、

①在kibana 的discovery页面查询数据, 首先确定查询时间范围,开始时间和结束时间都可以精确到s。

注意:这里的时间比json数据中的时间要晚8个小时。要在json数据的时间向后推迟8个小时。

② 再编写查询语句,还可以使用Add filter 缩小 查询范围。

③ 下面这些记录是按照时间先后从下往上排。

qq_28808697
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kibana操作elasticsearch:多字段查询(multi_match)
学亮编程手记
02-26 4980
kibana 图表统计单日数据量(logstash导入默认有@timestamp时间字段)
saibeifeng187的博客
05-13 1112
Kinana介绍及实践
不积跬步无以致千里 不积小流无以成江海
03-02 1947
目录 概况 工作状态检查 索引接入-Management 索引文档查看-Discover 索引数据可视化-Visualize&DashBoard ELK监控大盘-Monitoring ES日志-logs 概况 Kibana是一个开源的数据分析与可视化设计平台组件。 可与elasticsearch组合, 高效对es中索引数据进行分析和查询,并可进行图标、表格和地图的形式可视化数据展示。 工作状态检查 启动后,通过ip:port/status查看Kibana工作状态。 直接访
ElasticSearch使用kibana控制台查询示例(时间范围查询)
图图小淘气的博客
12-09 1万+
记录一下日期查询问题 "format": "yyyy-MM-dd HH:mm:ss||yyyy-MM-dd||epoch_millis" # 创建索引 PUT my_date1 { "mappings": { "properties": { "publicDate": { "type": "date", "format": "yyyy-MM-dd HH:mm:ss||yyyy-MM-dd||epoch_millis", // 不管
Kibana日志查询总结
抽象的螺旋
07-14 4335
kibana日志查询总结
filebeat+elasticsearch+kinana安装配置
09-27
3. **Kibana**: Kibana 是一个数据可视化工具,可以用来搜索、查看和交互式探索存储在 Elasticsearch 中的数据。它可以创建仪表板、图表和其他可视化效果,帮助用户理解大量日志数据。 4. **海量数据挖掘**: 使用 ...
kibana安装包及说明.zip
01-30
Kibana是一款强大的数据可视化工具,它与Elasticsearch紧密集成,用于检索、分析和展示存储在Elasticsearch中的大量复杂数据Kibana的安装过程对于初学者来说可能有些复杂,但通过提供的"kibana安装包及说明.zip",...
es7.8.0全家桶.rar
07-11
elasticsearch7.8.0全家桶,都是7.8.0版本,包括了elasticsearch,elasticsearch-head可视化插件,ik分词器,kinana可视化插件,logstash同步工具。
kibana-7.1.0-linux-x86_64.tar.gz
02-13
官方Linux版本Kibana7.1.0。通过 Kibana,可以对自己的 Elasticsearch 进行可视化,还可以在 Elastic Stack 中进行导航,这样便可以进行各种操作了,从跟踪查询负载,到理解请求如何流经整个应用,都能轻松完成。
kibana-6.4.0 for windows
12-21
其优化的查询性能使得数据检索更快,用户可以迅速获取到所需的信息。此外,界面的响应速度也得到了提升,使得交互更加流畅,提升了用户体验。 Kibana的可视化能力在6.4.0版本中也有所加强。用户可以创建多种类型的...
ELK之Kibana入门及使用
weixin_44717560的博客
04-01 5658
Kibana入门及使用一、Kibana介绍二、Kibana安装与配置三、Kibana的使用实验一:绘制访问量统计图实验二:绘制垂直条形图 一、Kibana介绍 Kibana是一个针对Elasticsearch的开源分析及可视化平台,用来搜索、查看交互存储在Elasticsearch索引中的数据。使用Kibana,可以通过各种图表进行高级数据分析及展示。 Kibana让海量数据更容易理解。它操作简单,基于浏览器的用户界面可以快速创建仪表板(dashboard)实时显示Elasticsearch查询动态。 设置
kibana展示mysql数据,数据库服务运维(kibana数据可视化)
weixin_36208880的博客
03-16 1017
释放双眼,带上耳机,听听看~!1.Kibana 简单使用下面我们将会学习 Kibana 简单使用。同样,在开始之前首先确认你启动了redis-server、nginx、elasticsearch、kibana。注意:本实验是在上一个实验“Logstash 配置”的基础上继续进行的。2.创建 Kibana 索引模式在前面的实验中,我们运行 Logstash:cd logstash-7.4.1bin...
29.Kibana基础-2
大勇若怯任卷舒
05-16 139
29.1 按字段过滤 29.2 DSL查询 还可以编辑一个DSL查询语句,用于过滤筛选,例如: 29.3 查看文档数据 29.4 查看文档上下文 29.5 查看字段数据统计 29.6 创建一个可视化 为了创建一个可视化的视图: 第1步:点击左侧导航条中的“Visualize Library”按钮 第2步:点击“Create visualization”按钮或者加号(+)按钮 第3步:选择一个可视化类型 第4步:指定一个搜索查询来检索可视化数据 第5步:在可视化的构建器中选择Y轴的聚合操作
Kibana快速介绍
wolfcode_cn的博客
11-01 7988
作者:罗海鹏,叩丁狼高级讲师。本文为原创文章,转载请注明出处。      Kibana介绍 Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据Kibana与Elasticsearch的交互方式是各种不同的图表、表格、地图等,直观的展示数据,从而达到高级的数据分析与可视化的目的。 ...
Kibana常用查询命令
m0_50275872的博客
09-25 1万+
kibana 查询es 数据常用命令
29、Elasticsearch进阶查询
qq23001186的博客
08-14 741
如果我们希望“好网不”在分词的不被分开如何解决?"text" : "好网不的课程" , "analyzer" : "ik_smart" }ik定义的词库位置我们自定义词库mydic.dic:添加“好网不”、“中华牙膏”:“的”、“是”、“哟”添加自定义词库到ik中:重启ES容器。...
elasticsearch安装以及整合kinana
fengchao2016的博客
12-19 471
目录 后面的教程是关于ubuntu系统安装es的具体工程 1.下载上传到ubuntu系统 2.安装脚本命令 3.启动es 4.检测安装启动是否正常 此时有个命令可以查看错误方式: 解决JAVA_HOME找不到的问题 总结几个常用的es信息: 从官网上面下载所需的安装包:https://www.elastic.co/es/downloads/elasticsearch#ga-rel...
kinana 清空索引数据_使用Kibana实现基本的增删改查操作
weixin_35690449的博客
12-24 9042
es中的索引对应mysql的数据库、类型对应mysql的表、文档对应mysql的记录、映射对应mysql的索引索引:index类型:type映射:mappings1、创建索引在kibana的Dev Tools中输入如下PUT /lib/{"settings":{"index":{"number_of_shards":3,"number_of_replicas":0}}}索引的名称为libnumbe...
Kibana查询语法使用手册
热门推荐
白开水的博客
03-15 7万+
引用自 https://blog.csdn.net/zhengchaooo/article/details/79500130 Kibana查询语法使用手册速查全文搜索字段正则近似搜索范围搜索优先级分组字段分组转义特殊字符简单查询1、范围查询2、逻辑操作3、分组4、转义特殊字符Lucene语法简单说明TermsFields模糊查询Term ModifiersFuzzy SearchesProxi...
kinana和head区别
最新发布
09-04
Kinana节点之间通过共享和同步区块链数据来保持网络的一致性。每个Kinana节点都有自己的地址和私钥,可以用来验证和签署交易。 而Head是指区块链中的一个重要概念,它代表着区块链中的最新区块。每当有新的交易被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值