« ES|QL Lucene 查询语法 »
Elastic 文档 Kibana 指南 [8.14] Kibana 概念

Kibana 查询语言

编辑

Kibana 查询语言编辑

Kibana 查询语言 (KQL) 是一种简单的基于文本的查询语言,用于过滤数据。

  • KQL 仅过滤数据,在聚合、转换或排序数据方面不起作用。
  • 不要将 KQL 与 Lucene 查询语言 混淆,后者具有不同的功能集。

使用 KQL 可以过滤字段值存在、匹配给定值或在给定范围内的文档。

过滤字段存在的文档编辑

要过滤给定字段存在索引值的文档,请使用 * 运算符。例如,要过滤存在 http.request.method 字段的文档,请使用以下语法

http.request.method: *

这将检查任何索引值,包括空字符串。

过滤匹配值的文档编辑

使用 KQL 可以过滤匹配特定数字、文本、日期或布尔值的文档。例如,要过滤 http.request.method 为 GET 的文档,请使用以下查询

http.request.method: GET

字段参数是可选的。如果未提供,则在所有字段中搜索给定值。例如,要在所有字段中搜索“Hello”,请使用以下内容

Hello

查询关键字、数字、日期或布尔字段时,值必须完全匹配,包括标点符号和大小写。但是,查询文本字段时,Elasticsearch 会根据 字段的映射设置 分析提供的值。例如,要搜索 http.request.body.content(一个 text 字段)包含文本“null pointer”的文档

http.request.body.content: null pointer

因为这是一个 text 字段,所以这些搜索词的顺序无关紧要,甚至包含“pointer null”的文档也会被返回。要搜索 text 字段中术语按提供顺序排列的文档,请将值用引号括起来,如下所示

http.request.body.content: "null pointer"

某些字符必须使用反斜杠进行转义(除非用引号括起来)。例如,要搜索 http.request.referrerhttps://example.com 的文档,请使用以下任一查询

http.request.referrer: "https://example.com"
http.request.referrer: https\://example.com

您必须对以下字符进行转义

\():<>"*

过滤范围内的文档编辑

要搜索包含在提供范围内的术语的文档,请使用 KQL 的范围语法。例如,要搜索 http.response.bytes 小于 10000 的所有文档,请使用以下语法

http.response.bytes < 10000

要搜索包含范围,请组合多个范围查询。例如,要搜索 http.response.bytes 大于 10000 但小于或等于 20000 的文档,请使用以下语法

http.response.bytes > 10000 and http.response.bytes <= 20000

您还可以对字符串值、IP 地址和时间戳使用范围语法。例如,要搜索两周前的文档,请使用以下语法

@timestamp < now-2w

有关可接受日期格式的更多示例,请参阅 日期数学

使用通配符过滤文档编辑

要搜索匹配模式的文档,请使用通配符语法。例如,要查找 http.response.status_code 以 4 开头的文档,请使用以下语法

http.response.status_code: 4*

默认情况下,出于性能原因,不允许使用前导通配符。您可以使用 query:allowLeadingWildcards 高级设置修改此设置。

当前仅支持 *。它匹配零个或多个字符。

否定查询编辑

要否定或排除一组文档,请使用 not 关键字(不区分大小写)。例如,要过滤 http.request.method **不是** GET 的文档,请使用以下查询

NOT http.request.method: GET

组合多个查询编辑

要组合多个查询,请使用 and/or 关键字(不区分大小写)。例如,要查找 http.request.method 为 GET **或** http.response.status_code 为 400 的文档,请使用以下查询

http.request.method: GET OR http.response.status_code: 400

同样,要查找 http.request.method 为 GET **且** http.response.status_code 为 400 的文档,请使用以下查询

http.request.method: GET AND http.response.status_code: 400

要在组合多个查询时指定优先级,请使用括号。例如,要查找 http.request.method 为 GET **且** http.response.status_code 为 200,**或** http.request.method 为 POST **且** http.response.status_code 为 400 的文档,请使用以下内容

(http.request.method: GET AND http.response.status_code: 200) OR
(http.request.method: POST AND http.response.status_code: 400)

您还可以对同一字段的多个值使用括号进行简写语法。例如,要查找 http.request.method 为 GET、POST **或** DELETE 的文档,请使用以下内容

http.request.method: (GET OR POST OR DELETE)

匹配多个字段编辑

通配符也可用于查询多个字段。例如,要搜索 datastream 的任何子字段包含“logs”的文档,请使用以下内容

datastream.*: logs

使用通配符查询多个字段时,如果字段类型不同,则可能会发生错误。例如,如果 datastream.* 匹配数字和字符串字段,则上述查询将导致错误,因为无法查询数字字段的字符串值。

查询嵌套字段编辑

查询 嵌套字段 需要特殊语法。请考虑以下文档,其中 user 是一个嵌套字段

{
  "user" : [
    {
      "first" : "John",
      "last" :  "Smith"
    },
    {
      "first" : "Alice",
      "last" :  "White"
    }
  ]
}

要查找 user 数组中的单个值包含名字“Alice”和姓氏“White”的文档,请使用以下内容

user:{ first: "Alice" and last: "White" }

因为嵌套字段可以位于其他嵌套字段内,所以您必须指定要查询的嵌套字段的完整路径。例如,请考虑以下文档,其中 usernames 都是嵌套字段

{
  "user": [
    {
      "names": [
        {
          "first": "John",
          "last": "Smith"
        },
        {
          "first": "Alice",
          "last": "White"
        }
      ]
    }
  ]
}

要查找 user.names 数组中的单个值包含名字“Alice”**和**姓氏“White”的文档,请使用以下内容

user.names:{ first: "Alice" and last: "White" }
« ES|QL Lucene 查询语法 »