Lucene 查询语法
编辑Lucene 查询语法
编辑选择不使用 Kibana 查询语言 的 Kibana 用户可以使用 Lucene 查询语法。该语法的完整文档作为 Elasticsearch 查询字符串语法 的一部分提供。
在 Kibana 中使用 Lucene 查询语法的主要原因是使用高级 Lucene 功能,例如正则表达式或模糊词匹配。但是,Lucene 语法无法搜索嵌套对象或脚本字段。
要使用 Lucene 语法,请打开 保存的查询 菜单,然后选择 语言:KQL > Lucene。
要执行自由文本搜索,只需输入文本字符串。例如,如果您正在搜索 Web 服务器日志,则可以输入 safari 来搜索所有字段。
safari
要在特定字段中搜索值,请在值前面加上字段的名称
status:200
要搜索一系列值,请使用带括号的范围语法,[起始值 TO 结束值]。例如,要查找具有 4xx 状态码的条目,您可以输入 status:[400 TO 499]。
status:[400 TO 499]
对于开放范围,请使用通配符
status:[400 TO *]
要指定更复杂的搜索条件,请使用布尔运算符 AND、OR 和 NOT。例如,要查找具有 4xx 状态码并且扩展名为 php 或 html 的条目
status:[400 TO 499] AND (extension:php OR extension:html)