elasticsearch 在Kibana搜索栏中搜索特殊字符
我有ELK 5.2.1用于日志分析。现在我需要通过Kibana搜索栏搜索一些字符串。例如,我需要找到包含“用法:527”的日志。我理解应该遵循的语法。但这对我不起作用。 我试过: 但什么都没用。有经验的人能帮我吗?谢谢 我知道使用开发工具进行查询是另一种方式,但我的一些麋鹿用户不具备这种能力 以下是索引详细信息:elasticsearch 在Kibana搜索栏中搜索特殊字符,elasticsearch,kibana,elasticsearch,Kibana,我有ELK 5.2.1用于日志分析。现在我需要通过Kibana搜索栏搜索一些字符串。例如,我需要找到包含“用法:527”的日志。我理解应该遵循的语法。但这对我不起作用。 我试过: 但什么都没用。有经验的人能帮我吗?谢谢 我知道使用开发工具进行查询是另一种方式,但我的一些麋鹿用户不具备这种能力 以下是索引详细信息: curl -XGET -u elastic localhost:9200/app_web_log-20170410 Enter host password for user
curl -XGET -u elastic localhost:9200/app_web_log-20170410
Enter host password for user 'elastic':
{"app_web_log-20170410":{"aliases":{},"mappings":{"log":{"properties":{"@timestamp":{"type":"date"},"@version":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"beat":{"properties":{"hostname":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"name":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"version":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}}}},"deployment":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"input_type":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"message":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"module":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"offset":{"type":"long"},"source":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}},"type":{"type":"text","fields":{"keyword":{"type":"keyword","ignore_above":256}}}}}},"settings":{"index":{"creation_date":"1491782403146","number_of_shards":"5","number_of_replicas":"1","uuid":"73cWj5AHTmeFdXnJk4xCjQ","version":{"created":"5020199"},"provided_name":"app_web_log-20170410"}}}}
根据映射,如果消息字段包含确切的值
用法:527
,则可以在Kibana中尝试以下查询:
message.keyword:"usage:527"
如果用法:527
是消息字段的子字符串,则可以使用
message.keyword:/usage:527/
根据映射,如果消息字段包含确切的值
用法:527
,则可以在Kibana中尝试以下查询:
message.keyword:"usage:527"
如果用法:527
是消息字段的子字符串,则可以使用
message.keyword:/usage:527/
也尝试了
{“匹配”:{“消息”:“用法?275”}
。但仍然不工作。您的消息
字段的映射是什么?消息字段来自logstash。它是log entry当运行curl-XGET localhost:9200/logstash-*
时,您会得到什么?我只得到了{}。实际上我没有以logstahs*开头的索引。我已经改名了。但是使用这个命令也得到了一个{}尝试过的{“match”:{“message”:“usage?275”}
。但仍然不工作。您的消息
字段的映射是什么?消息字段来自logstash。它是log entry当运行curl-XGET localhost:9200/logstash-*
时,您会得到什么?我只得到了{}。实际上我没有以logstahs*开头的索引。我已经改名了。但是使用这个命令也得到了{}谢谢。但这也不管用。我试过“527”和“用法”,两种都有效。但是“用法:527”有效。您能显示包含用法:527的消息字段的完整值吗?2017-05-28 05:26:58024[http-bio-8099-exec-23113]信息[ServiceUsageController:usage:527]123456789012345-76eb59576928e53067cff5eb17c9279e令牌XXX-abfd74E529C4BB665A4C696F47C221,响应数据:{“code”:“0”,“令牌”:“XXX-abbfd74e529c4bb665a4c696f471c221”,“属性:{“allowAppReport”:0,“initPageType”:2,“showPackageIcon”:0,“时区:”“GMT-03:00”},“tid:“76eb59576928e53067cff5eb17c9279e”}我在那里看不到用法:527
。你能检查一下我的更新答案吗?幸运吗?谢谢。但这也不起作用。我尝试了“527”和“用法”,两者都起作用。但是“用法:527”起作用。你能显示包含用法:527
?2017-05-28 05:26:58024[http-bio-8099-exec-23113]信息的消息字段的完整值吗[ServiceUsageController:usage:527]123456789012345-76eb59576928e53067cff5eb17c9279e令牌XXX-abbfd74e529c4bb665a4c696f471c221,响应数据:{“代码”:“0”,“令牌”:“XXX-abbfd74e529c4bb665a4c696f471c221”,“属性”:{“allowAppReport”:0,“initPageType”:2,“ShowPackageGeicon”:0,“时区”:“GMT-03:00”,“tid”:“EB7659576928E5307CFF5779E”}我没有看到用法:527
在那里。你能检查一下我的更新答案吗?这方面运气好吗?