ELK kibana查询与过滤总结

最新推荐文章于 2023-03-04 15:21:02 发布
最新推荐文章于 2023-03-04 15:21:02 发布
阅读量2.5k 收藏 2
点赞数
文章标签: json python 大数据
原文链接:https://my.oschina.net/aibati2008/blog/775901
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

 

Kibana自带了与或非的逻辑语法,还有取值范围等等。

AND

http_code:502 AND domain:"www.xnow.me"

以上搜索可以过滤出来www.xnow.me的返回码为502的请求。

OR

domain:"www.xnow.me" AND ( http_code:500 OR http_code:502)

以上搜索可以过滤出来www.xnow.me中,返回码是502或者500的请求。

NOT

http_code:500 AND NOT domain:"www.xnow.me"

以上搜索可以过滤非www.xnow.me的其它域名,返回码为500的请求。

取值范围

domain:"www.xnow.me" AND http_code:[400 TO 599]

使用以上搜索,可以看到www.xnow.me上,400到599的所有返回码,譬如404,503等等。

 

比如有个字段是响应时间request_time,如何查询request_time大于0.5的日志?

price:[0.5 TO *]

注意必须确保该字段为数值型

 

可以参考官方文档 https://www.elastic.co/guide/en/kibana/3.0/queries.html

 

高阶,使用正则表达式搜索

grep的牛逼之处正是在于其对正则表达式的支持,掌握了kibana的正则表达式,grep自然就变得无足轻重了。以下使用json格式的字符串进行过滤。以下是我最常用的正则的搜索,过滤请求路径中的内容,可以很方便的分析出指定url的请求量变化。

{
  "regexp": {
    "request": "/login.*"
  }
}

以上搜索会过滤出路径起始为/login的请求。大多数正则引擎都使用^和$来对字符串的起始和结束进行锚点,但是kibana不用,比如在上面的例子中,/login.*,在其它引擎中可以表示为,^/login,此处的.*也不可忽略。

其它正则语法大多类似,下面简单描述下:

匹配任何字符

. 点可以用来匹配任何字符,ab.d可以匹配到abcd或者ab2d。

匹配重复出现一次或者多次

+ 加号可以匹配前面出现的字符再出现一次或者好几次,a+.+c可以匹配到aabbc或者aaaaaxxxc

* 星号匹配字符出现0次或者多次。

? 问号匹配字符出现0次或者1次。

限制出现确切的次数

{} 大括号可以过滤字符出现的确切次数
{3} 表示前一字符出现三次
{2,4} 表示前一字符可出现2,3或者4次。
{2,} 表示前一字符至少重复2次

字符组

用小括号()括起来的字符串可以认作一个组,例如ababab可以认为是(ab)这个组重复了3次,可以被(ab){3}或者(ab)+等等来匹配。

波浪号

还有一个很神奇的波浪号,ab~d表示,第一个字符是a,第二个字符是b,后面是任意长度的任意字符串但不能是c,最后一个字符是d。所以abcdef可以使用如下的正则来匹配:

ab~df # 匹配
ab~cf # 匹配
ab~cdef # 不匹配
a~(cb)def # 匹配
a~(bc)def # 不匹配

关于kibana的正则还有很多其它用法,大多数我都没用到过,所以此处不一一列举了,感兴趣的童鞋可以参考Elasticsearch的官网的这篇文章Regexp Query,以上部分也大多是取自这篇文档。

 

 

参考:http://xnow.me/ops/how-to-search-in-elk.html

http://www.ttlsa.com/elk/elk-kibana-query-and-filter/

转载于:https://my.oschina.net/aibati2008/blog/775901

weixin_34405332
关注
如何使用elk kibana
01-27
### 如何使用ELK Kibana 进行高效日志查询与分析 #### ELK Stack 简介 ELK Stack 是一套流行的开源工具集合,主要用于日志收集、存储、搜索和可视化。其中,“E”代表 Elasticsearch,一个分布式、RESTful 风格的...
kibana查询过滤不想存在的字符串
予怀
06-13 2155
可以在关键词前面增加 not 关键字,例如: 返回有login字符串,但是没abcd字符串的查询结果
kibana字段过滤功能(是某个字段过滤)
weixin_33775572的博客
05-04 4892
2019独角兽企业重金招聘Python工程师标准>>> ...
Kibana的搜索和过滤
lonely_baby的博客
03-04 3888
Kibana中,您可以使用查询语句来完成一些高级搜索任务,比如在多个字段中搜索、排除特定值、计算文本相似度等。(1)搜索栏:Kibana的搜索栏位于主页面的顶部,它可以用来输入关键字,然后在所选索引中搜索匹配的数据。在过滤器面板中,您可以使用逻辑运算符(AND、OR、NOT)来组合多个过滤器,并指定各个过滤器的条件和值。在过滤器面板中,您可以选择要过滤的字段,并指定匹配条件和值,然后点击应用过滤器按钮即可。在过滤器面板中,您可以选择要过滤的字段,并指定范围的最小值和最大值,然后点击应用过滤器按钮即可。
ELK kibana查询过滤
热门推荐
yzx3105的博客
06-07 1万+
Kibana拆分字段的时候,可能是根据空格拆分的。 例如:nested exception is java.net.SocketTimeoutException: Read timed out , 单独搜索 nested ,exception 都可以,但单独搜索 SocketTimeoutException 是搜不到的。 但是java.net.SocketTimeoutException可以搜索到。 1. 使用双引号包起来作为一个短语搜索: “like Gecko” 2. ? 匹配单个字符; * 匹配0到
ElasticSearch(4) Kibana客户端 DSL查询过滤
郑清
01-06 9352
什么是dsl?? 由ES提供丰富且灵活的查询语言叫做DSL查询(Query DSL),它允许你构建更加复杂、强大的查询。DSL(Domain Specific Language特定领域语言)以JSON请求体的形式出现 组成 --> dsl=dsl查询+dsl过滤 dsl过滤简单理解为就是精确查询,而dsl查询是模糊查询(like).由于查询需要做相关度...
kibana elk
06-12
KibanaELK堆栈的可视化界面,允许用户通过交互式的仪表板来查询、分析和展示存储在Elasticsearch中的数据。Kibana支持创建自定义视图,可以显示时间序列图表、直方图、地图等,帮助运维人员快速理解和发现日志数据...
ELK日志分析系统-kibana-5.4.2
10-19
3. **搜索与探索**:Kibana的Discover界面是其核心功能之一,允许用户通过关键词搜索日志数据,并提供实时过滤和聚合功能。5.4.2版本的搜索性能得到优化,查询响应更快,用户体验更佳。 4. **时间序列洞察(Time-...
kibanaelk组件,配合es使用
09-07
KibanaELK组件与Elasticsearch的配合使用是现代日志管理和数据分析的重要工具集。ELK(Elasticsearch, Logstash, Kibana)是三个开源项目的组合,它们一起提供了一种强大的解决方案,用于收集、分析和可视化各种...
ELK集群部署(elasticsearch\logstash\kibana
01-18
Kibana还支持自定义仪表板、搜索查询、保存的视图以及警报设置,为日志分析提供了强大的可视化工具。 **集群部署** 在集群环境中,Elasticsearch通常会配置为分片和复制,以提高可用性和性能。分片是将数据分布到多...
ELK kibana查询与画图
运维打怪晋级之路
04-07 2209
1、创建查询 在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写,搜索框 suosurl:5yb4Qr and visitip:144.91.124.25 。 2、字符串查询 查询可以包含一个或多个字或者短语。短语需要使用双引号引起来。如: 3、正则表达式查询 允许一个字段值在某个区间。[] 包含该值,{}不...
Kibana搜索原理
Blue summer的博客
08-05 1312
注:本文基于Kibana 7.13.4版本 1. 背景 在上一篇文章——Kibana常用搜索语法,我们简单介绍了kibana的常用搜索语法,但在实际使用中,总是出现各种异常,为什么明明存在的字符串就是匹配不到,搜不出来,今天我们就来稍微深入下Kibana的搜索原理。 2. 关于Kibana的正则表达式 因为Kibana的正则表达式引擎并不是使用perl pcre,因此有一些正则并不支持,比如开头和结尾锚定符号,^和$,详细的支持符号可以查看官方文档,https://www.elastic.co/guide/
Kibana常用搜索语法
Blue summer的博客
08-04 3695
Kibana搜索语法
kibana 查询_详解EFK之kibana查询过滤
weixin_39754616的博客
12-03 4752
概述在kibana中,可通过搜索查询过滤事务或者在visualization界面点击元素过滤。记得先启用查询功能注意:Kibana拆分字段的时候是根据空格拆分的。例如:nested exception is java.net.SocketTimeoutException: Read timed out ,单独搜索 nested ,exception 都可以,但单独搜索 SocketTimeoutE...
Logstash filter 的使用
m0_56342013的博客
06-18 1169
Logstash filter 的使用
Kibana 用户指南(按字段过滤
weixin_34392906的博客
10-13 2774
通过字段过滤 你可以过滤搜索结果,只显示那些在字段中包含特定值的文档,你还可以创建否定过滤器,以排除包含指定字段值的文档。 你可以通过字段列表、文档列表或手动添加过滤器来添加字段过滤器,除了创建肯定过滤器和否定筛选器之外,文档列表还允许你对字段是否存在进行过滤查询栏下面显示了应用的过滤器,否定过滤器显示为红色。 从字段列表中添加一个过滤...
ELK filter 查询
daicooper的博客
04-15 934
filter 查询不计算相关性,同时可以 cache ,因此 filter 速度要快于 query. POST /lib4/items/_bulk {"index":{"_id":1}} {"price":40,"itemID":"ID100123"} {"index":{"_id":2}} {"price":50,"itemID":"ID100124"} {"index":{"_id":3}}...
ELK
weixin_34279061的博客
04-13 98
关系型 -------- 非关系型MySQL ?--? NoSQLDatabase ----> IndexTable ----> TypeRow ----> DocumentColumn ----> Filed ELK组成: E:是指Elasticsearch,完成数据的存储和检索 L:是Logstas...
1、要搜索一个确切的字符串,即精确搜索,需要使用双引号引起来:path:”/app/logs/nginx/access.log” 2、如果不带引号,将会匹配每个单词:uid token 3、模糊搜
LWJdear的博客
10-20 1554
1、要搜索一个确切的字符串,即精确搜索,需要使用双引号引起来:path:”/app/logs/nginx/access.log” 2、如果不带引号,将会匹配每个单词:uid token 3、模糊搜索:path:”/app/~” 4、* 匹配0到多个字符:*oken 5、? 匹配单个字符 : tok?n 6、+:搜索结果中必须包含此项 -:不能含有此
elk kibana怎么使用
最新发布
10-18
ELK 是一个开源的日志管理平台,其中 KibanaELK 中的可视化工具,可以帮助用户更方便地查询和分析日志数据。下面是 Kibana 的使用步骤: 1. 安装 ELK 平台,包括 Elasticsearch、Logstash 和 Kibana。 2. 将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值