Json 弹性搜索查询DSL
我从我的防火墙中获取日志文件,我想过滤其中的几个字符串。 但是,字符串始终包含一些其他信息。所以我想过滤整个字符串中的一些特定单词,这些单词总是在字符串中:“User”“authentication”“failed” 我尝试了这个,但没有从中获得任何数据:Json 弹性搜索查询DSL,json,
elasticsearch,kibana,Json,
elasticsearch,Kibana,我从我的防火墙中获取日志文件,我想过滤其中的几个字符串。 但是,字符串始终包含一些其他信息。所以我想过滤整个字符串中的一些特定单词,这些单词总是在字符串中:“User”“authentication”“failed” 我尝试了这个,但没有从中获得任何数据: "query": { "bool": { "must": [ { "range": { "@timestamp": { "gt": "now-15m" }
"query": {
"bool": {
"must": [
{
"range": {
"@timestamp": {
"gt": "now-15m"
}
}
},
{
"query_string": {
"query": "User AND authentication AND failed"
}
}
]
}
}
}
但是我找不到字符串中特定过滤词的语法。希望你们中的一些人能帮助我
这是消息日志(我想过滤“event.original”):您确定该文档的时间戳在过去15分钟内吗?我尝试了该查询字符串,它应该可以工作是的,我正在进行一些实时测试,所以应该可以。如果我在查询中或在kibana的GUI中指定时间戳,会有什么区别吗?因为指定的时间也需要在kibana中设置?