Lucene 查询语法

Elastic Stack Serverless

Lucene 查询语法适用于选择不使用 Kibana 查询语言的 Kibana 用户。有关此语法的完整文档，请参阅 Elasticsearch 查询字符串语法。

在 Kibana 中使用 Lucene 查询语法的主要原因是它具备高级 Lucene 功能，例如正则表达式或模糊词语匹配。但是，Lucene 语法无法搜索嵌套对象或脚本字段。

要使用 Lucene 语法，请打开已保存的查询菜单，然后选择 语言：KQL > Lucene。

要执行自由文本搜索，只需输入一个文本字符串。例如，如果您正在搜索 Web 服务器日志，则可以输入 safari 以搜索所有字段

safari

要在特定字段中搜索值，请在值前加上字段名称

status:200

要搜索值的范围，请使用带括号的范围语法，[START_VALUE TO END_VALUE]。例如，要查找具有 4xx 状态代码的条目，您可以输入 status:[400 TO 499]。

status:[400 TO 499]

对于开放范围，请使用通配符

status:[400 TO *]

要指定更复杂的搜索条件，请使用布尔运算符 AND、OR 和 NOT。 例如，要查找具有 4xx 状态代码并且扩展名为 php 或 html 的条目

status:[400 TO 499] AND (extension:php OR extension:html)