Lucene 查询语法

选择退出 Kibana 查询语言 的 Kibana 用户可以使用 Lucene 查询语法。此语法的完整文档作为 Elasticsearch 查询字符串语法 的一部分提供。

在 Kibana 中使用 Lucene 查询语法的主要原因是为了使用高级 Lucene 功能，例如正则表达式或模糊词项匹配。但是，Lucene 语法无法搜索嵌套对象或脚本字段。

要使用 Lucene 语法，请打开 已保存的查询 菜单，然后选择 语言：KQL > Lucene。

要执行自由文本搜索，只需输入一个文本字符串。例如，如果您要搜索 Web 服务器日志，则可以输入 safari 来搜索所有字段。

safari

要在特定字段中搜索值，请在值前面加上字段名称。

status:200

要搜索值范围，请使用括号范围语法，[起始值 TO 结束值]。例如，要查找状态代码为 4xx 的条目，您可以输入 status:[400 TO 499]。

status:[400 TO 499]

对于开放范围，请使用通配符。

status:[400 TO *]

要指定更复杂的搜索条件，请使用布尔运算符 AND、OR 和 NOT。例如，要查找状态代码为 4xx 且扩展名为 php 或 html 的条目。

status:[400 TO 499] AND (extension:php OR extension:html)