时间选择器
默认的时间过滤器设置为最近 15 分钟。你可以用页面顶部的时间选择器(Time Picker)来修改时间过滤器,或者选择一个特定的时间间隔,或者直方图的时间范围。
要用时间选择器来修改时间过滤器:
- 点击菜单栏右上角显示的 Time Filter 打开时间选择器。
- 快速过滤,直接选择一个短链接即可。
- 要指定相对时间过滤,点击 Relative 然后输入一个相对的开始时间。可以是任意数字的秒、分、小时、天、月甚至年之前。
- 要指定绝对时间过滤,点击 Absolute 然后在 From 框内输入开始日期,To 框内输入结束日期。
- 点击时间选择器底部的箭头隐藏选择器。
检索
全文检索
- 在搜索栏输入login,会返回所有字段值中包含login的文档
- 使用双引号包起来作为一个短语搜索:"server login"
字段
按照左侧字段列表进行检索
限定字段全文搜索:field:value
-
精确搜索:关键字加上双引号 filed:"value"
http.code:404 搜索http状态码为404的文档
_exists_:http:返回结果中需要有http字段_missing_:http:不能含有http字段
介绍一下几个系统默认的字段
@timestamp 时间。精确到毫秒(可以自定义显示)
host 主机名。为产生日志的服务器的主机名;
message:信息。为日志具体类容信息;
path:路径。在服务器上的日志存放路径;
逻辑操作
AND
OR
NOT
NOT type: mysql+:搜索结果中必须包含此项
-
-:不能含有此项
+apache -jakarta test:结果中必须存在apache,不能有jakarta,test可有可无
+d:iPhone 6s Plus -uid:104 解释同上
通配符
?匹配单个字符-
*匹配0到多个字符kiba?a, el*search
? * 不能用作第一个字符,例如:?text *text
范围搜索
数值和时间类型的字段可以对某一范围进行查询
lengthType:[100 TO 200]
dateType:{"now-6h" TO "now"}
[ ] 表示端点数值包含在范围内,{ } 表示端点数值不包含在范围内
模糊搜索
-
:在一个单词后面加上启用模糊搜索
first~ 也能匹配到 frist
还可以指定需要多少相似度
cromm~0.3 会匹配到 from 和 chrome
数值范围0.0 ~ 1.0,默认0.5,越大越接近搜索的原始值
近似搜索
-
在短语后面加上~,用 ~ 表示搜索单词可能有一两个字母写的不对,请 ES 按照相似度返回结果
"select where"~3 表示 select 和 where 中间隔着3个单词以内
正则搜索
注意 ES 中正则性能很差,而且支持的功能也不是特别强大,尽量不要使用
转义特殊字符
-
+ - && || ! () {} [] ^" ~ * ? : \以上字符当作值搜索的时候需要用\转义
