Kibana 查询和过滤器

本主题简要介绍了一些用于搜索 Packetbeat 数据的有用查询。有关查询语法的完整描述，请参阅Kibana 用户指南中的搜索您的数据。

在 Kibana 中，您可以通过输入搜索查询或单击可视化中的元素来过滤事务。

Discover 页面上的搜索字段提供了一种方法，可以从选定的时间范围内查询特定子集的事务。它允许布尔运算符、通配符和字段过滤。例如，如果您想查找 HTTP 重定向，则可以搜索http.response.status_code: 302。

查询可以由一个或多个单词或短语组成。短语是由双引号括起来的一组单词，例如"test search"。

搜索由 Mozilla Web 浏览器 5.0 版发起的全部 HTTP 请求

"Mozilla/5.0"

搜索包含以下消息的所有事务

"Cannot change the info of a user"

搜索所有使用“chunked”编码的事务

"Transfer-Encoding: chunked"

Kibana 允许您搜索特定字段。

仅查看 HTTP 事务

type: http

仅查看失败的事务

status: Error

仅查看 INSERT 查询

method: INSERT

Kibana 支持用于过滤器和表达式的正则表达式。例如，要搜索所有返回 JSON 作为返回值类型的 HTTP 响应

http.response_headers.content_type: *json

有关语法的更多详细信息，请参阅Elasticsearch 正则表达式查询。

范围查询允许字段具有上下限之间的值。根据您使用的括号类型，区间可以包含或排除边界。

搜索响应时间大于或等于 10 毫秒的慢速事务

event.duration: [10000000 TO *]

搜索响应时间大于 10 毫秒的慢速事务

responsetime: {10000000 TO *}

布尔运算符（AND、OR、NOT）允许通过逻辑运算符组合多个子查询。

搜索除 MySQL 事务之外的所有事务

NOT type: mysql

搜索所有出现错误的 MySQL INSERT 查询

type: mysql AND method: INSERT AND status: Error

Kibana 查询语言 (KQL) 也支持括号来对子查询进行分组。

搜索响应时间大于或等于 30 毫秒的 INSERT 或 UPDATE 查询

(method: INSERT OR method: UPDATE) AND event.duration >= 30000000

在 Kibana 中，您还可以通过单击可视化中的元素来过滤事务。例如，要过滤来自特定 IP 和端口的所有 HTTP 重定向，请单击事务详细信息表中client.ip 和client.port 字段旁边的筛选值图标。要排除来自该 IP 和端口的 HTTP 重定向，请改用单击过滤掉值图标。

选定的过滤器将显示在搜索框下方。