您可以通过在查询栏中输入搜索条件来搜索与当前索引模式匹配的索引。您可以执行简单的文本搜索,使用 Lucene 查询语法,或使用完整的基于 JSON 的 Elasticsearch Query DSL。
当您提交搜索请求时,柱状图,文档表和字段列表会更新以反映搜索结果。命中的总数(匹配文档)显示在工具栏中。文件表显示前五百次点击。默认情况下,匹配按时间倒序排列,最新的文档将首先显示。您可以通过单击时间列标题来反转排序顺序。您还可以通过任何索引字段中的值对表进行排序。有关详细信息,请参阅排序文档表。
要搜索数据,请在查询栏中输入搜索条件,然后按 Enter 键或单击 Search
将请求提交到 Elasticsearch。
- 要执行自由文本搜索,只需输入文本字符串。例如,如果您正在搜索 Web 服务器日志,则可以输入 safari 以搜索术语为 safari 的所有字段。
- 要在特定字段中搜索值,请在该值前面添加字段的名称。例如,您可以输入
status:200以查找 status(状态)字段中包含值为 200 的所有条目。 - 要搜索值范围,您可以使用括号范围语法 [START_VALUE TO END_VALUE]。例如,要查找具有4xx 状态代码的条目,您可以输入
status:[400 TO 499]。 - 要指定更复杂的搜索条件,可以使用布尔运算符 AND,OR 和 NOT。例如,要查找具有 4xx 状态代码且扩展名为 php 或 html 的条目,您可以输入 status:[400 TO 499] AND (extension:php OR extension:html)。
注意 :
这些示例使用 Lucene 查询语法。您还可以使用 Elasticsearch Query DSL 提交查询。有关示例,请参阅 Elasticsearch Reference 中的 查询字符串语法。
保存搜索
保存搜索可让您将其重新加载到 Discover(发现)中,并将其用作 Visualize(可视化)的基础。保存搜索将同时保存搜索查询字符串和当前选定的索引模式。
要保存当前搜索 :
- 单击 Kibana 工具栏中的 Save。
- 输入搜索的名称,然后单击 Save。
您可以从 Management/Kibana/Saved Objects 导入,导出和删除保存的搜索。
打开保存的搜索
要将保存的搜索加载到 Discover 中 :
- 单击 Kibana 工具栏中的打开。
- 选择要打开的搜索。
如果保存的搜索与不同于当前选择的索引模式相关联,则打开保存的搜索也会更改所选的索引模式。
更改您正在搜索的索引
当您提交搜索请求时,搜索与当前选择的索引模式匹配的索引。当前索引模式显示在工具栏下方。要更改要搜索的索引,
单击索引模式并选择不同的索引模式。
有关索引模式的详细信息,请参阅创建索引模式。
刷新搜索结果
随着更多的文档被添加到您正在搜索的索引,在发现和用于显示可视化显示的搜索结果获取过时。您可以配置刷新间隔,以定期重新提交搜索以检索最新结果。
要启用自动刷新 :
- 单击 Kibana 工具栏中的 Time Picker
(时间选择)。 - 单击 Auto refresh(自动刷新)。
- 从列表中选择刷新间隔。
480
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
