kibana 写两个查询条件_Kibana 用户指南（搜索你的数据）

搜索你的数据

通过在查询栏中输入搜索条件，可以搜索与当前索引模式匹配的索引，你可以使用Kibana的标准查询语言(基于Lucene查询语法)或完整的基于JSON的Elasticsearch Query DSL。作为实验性特性，Kibana查询语言可以使用自动完成和简化查询语法，你可以在查询栏的options菜单下选择这些特性。

提交搜索请求时，将更新直方图、文档列表和字段列表，以反映搜索结果，命中的总数(匹配的文档)显示在工具栏中，文档列表显示前500个命中。默认情况下，命中的是按时间倒序排列的，最新的文档首先显示，你可以通过单击时间列标题来反转排序顺序，还可以根据任何索引字段中的值对列表进行排序，有关更多信息，请参阅对Documents列表进行排序。

要搜索你的数据，请在查询栏中输入你的搜索条件，然后按Enter或单击search按钮将请求提交到Elasticsearch。

你可以通过在高级设置下将search:queryLanguage更改为kuery来默认选择我们的实验查询特性。

Lucene查询语法

Kibana的查询语言一直基于Lucene查询语法，以下是一些可以帮助你开始的技巧。

要执行一个自由的文本搜索，只需输入一个文本字符串，例如，如果你正在搜索web服务器日志，你可以输入safari以搜索safari条文的所有字段。

要在特定字段中搜索值，请在该值前面加上字段的名称，例如，你可以输入status:200以查找status字段中包含值200的所有条目。

要搜索一个值范围，可以使用带括号的范围语法，[START_VALUE TO END_VALUE]，例如，要查找具有4xx状态码的条目，可以输入status:[400 TO 499]。

要指定更复杂的搜索条件，可以使用布尔运算符AND、OR和NOT，例如，要查找具有4xx状态码并具有php或html的extension的条目，可以输入status:[400 TO 499] AND (extension:php OR extension:html)。

有关Lucene查询语法的详细信息，请参见查询字符串查询文档。

这些示例使用Lucene查询语法，当选择lucene作为查询语言时，你还可以使用Elasticsearch Query DSL提交查询。

Kibana查询语言增强

这个功能是实验性的，在将来的版本中可能会完全改变或删除。

在6.0中，我们引入了一种实验性查询语言Kuery，我们把从实验中学到的应用到标准的Kibana语查询语言中，因此，Kuery不再作为独立的选项可用，使用Kuery保存的搜索将自动选择使用本页面中描述的语言增强，但是，对查询语法做了一些修改，因此请继续阅读有关新内容的详细信息。

从6.3开始，你可以在查询栏的options菜单下选择加入一些令人兴奋的实验性查询语言增强，目前，可选项将支持自动完成功能、脚本字段支持和简化、更容易的使用语法。我们正在努力构建更多的特性供你尝试，利用这些特性，让我们知道你的想法!

新的简化语法

如果你熟悉Kibana的旧的lucene查询语法，那么你就应该很快熟悉新语法，基本保持不变，我们只是改进了一些东西，使查询语言更容易使用，阅读下面的更改。

response:200将匹配response字段匹配值200的文档。

在搜索词的前后加引号将启动短语搜索，例如，message:“Quick brown fox”将在message字段中搜索短语“Quick brown fox”，如果没有引号，你的查询将通过message字段的配置分析器分解为令牌，并将匹配包含这些令牌的文档，无论它们出现的顺序如何。这意味着使用“quick brown fox”的文档会匹配，而使用“quick fox brown”的文档也会匹配，如果你想搜索一个短语，记得使用引号。

查询解析器将不再在空格上拆分，多个搜索词必须由显式布尔运算符分隔，注意，布尔运算符不区分大小写。

response:200 extension:php在lucene中将变成response:200 and extension:php，这将匹配response与200匹配并且extension与php匹配的文档。

我们可以使用or让条文可选。

response:200 or extension:php将匹配response匹配200、extension匹配php或两者都匹配的文档。

默认情况下，and具有比or更高的优先级。

response:200 and extension:php or extension:css将匹配response为200并且extension为php的文档或extension是css并且response为任何值的文档。

我们可以用分组覆盖默认优先级。

response:200 and (extension:php or extension:css)将匹配response为200并且extension为php或css的文档。

存在一种简写方式，允许我们轻松地在单个字段中搜索多个值。

response:(200 or 404)搜索response字段匹配200或404的文档，我们还可以搜索包含条文列表的多值字段的文档，例如：tags:(success and info and security)。

在条文前加上not可以使它们颠倒。

not response:200将匹配所有response不为200的文档。

整个组也可以被颠倒。

response:200 and not (extension:php or extension:css)

范围查询与lucene相似，只是语法上很小的差异。

替代bytes:>1000，我们省略了冒号:bytes > 1000。

>, >=,

现有查询很简单，不需要特殊的操作符，response:*将找到所有存在response字段的文档。

通配符查询可用，machine.os:win*将匹配machine.os字段以"win"开头的文档，它将匹配像“windows 7”和“windows 10”的值。

通配符还允许我们同时搜索多个字段，当你同时拥有一个text和keyword版本的字段时，这可以派上用场，假设我们有machine.os和machine.os.keyword字段并且我们都想要检索"windows 10"这个词，我们可以像这样做：machine.os*:“windows 10”。

没有字段的条文将在索引设置中与默认字段进行匹配，如果没有设置默认字段，这些条文将与所有字段匹配，例如，response:200查询将在response字段中搜索值200，而仅搜索200的查询将在索引中的所有字段中搜索200。

保存和打开搜索

保存搜索使你能够重新加载它们到Discover中，并将它们用作可视化的基础，保存搜索将保存搜索查询字符串和当前选择的索引模式。

保存搜索

保存当前搜索：

在Kibana工具栏中点击Save。

输入搜索的名称并单击Save。

你可以从Management/Kibana/Saved Objects导入、导出和删除已保存的搜索。

打开一个保存的搜索

将保存的搜索载入Discover：

单击Kibana工具栏中的Open。

选择要打开的搜索。

如果保存的搜索关联的索引模式与当前选择的索引模式不同，打开保存的搜索将更改所选的索引模式，用于保存的搜索的查询语言也将被自动选择。

改变你正在搜索的索引

当你提交一个搜索请求时，搜索与当前选择的索引模式匹配的索引，当前索引模式显示在工具栏下面，要更改你正在搜索的索引，请单击索引模式并选择一个不同的索引模式。

有关索引模式的更多信息，请参见创建索引模式。

刷新搜索结果

随着更多的文档被添加到你正在搜索的索引中，在Discover中显示的并用于显示可视化的搜索结果变得陈旧，你可以配置一个refresh interval来定期重新提交搜索，以检索最新的结果。

启用自动刷新：

在Kibana工具栏上单击Time Picker按钮。

点击Auto refresh。

从列表中选择一个刷新间隔。

启用自动刷新时，刷新间隔将显示在时间选择器旁边，并显示一个暂停按钮，要临时禁用自动刷新，请单击Pause。

如果没有启用自动刷新，你可以通过单击Refresh手动刷新可视化效果。