elasticsearch,kibana,Json,elasticsearch,Kibana" /> elasticsearch,kibana,Json,elasticsearch,Kibana" />
Fatal编程技术网
  • json/
  • Json 弹性搜索查询DSL

Json 弹性搜索查询DSL

json kibana

Json 弹性搜索查询DSL,json,elasticsearch,kibana,Json,elasticsearch,Kibana,我从我的防火墙中获取日志文件,我想过滤其中的几个字符串。 但是,字符串始终包含一些其他信息。所以我想过滤整个字符串中的一些特定单词,这些单词总是在字符串中:“User”“authentication”“failed” 我尝试了这个,但没有从中获得任何数据: "query": { "bool": { "must": [ { "range": { "@timestamp": { "gt": "now-15m" }

我从我的防火墙中获取日志文件,我想过滤其中的几个字符串。 但是,字符串始终包含一些其他信息。所以我想过滤整个字符串中的一些特定单词,这些单词总是在字符串中:“User”“authentication”“failed”

我尝试了这个,但没有从中获得任何数据:

  "query": {
"bool": {
  "must": [
    {
      "range": {
        "@timestamp": {
          "gt": "now-15m"
        }
      }
    },
    {
      "query_string": {
        "query": "User AND authentication AND failed"
      }
    }
  ]
}
} }

但是我找不到字符串中特定过滤词的语法。希望你们中的一些人能帮助我

这是消息日志(我想过滤“event.original”):

您确定该文档的时间戳在过去15分钟内吗?我尝试了该查询字符串,它应该可以工作是的,我正在进行一些实时测试,所以应该可以。如果我在查询中或在kibana的GUI中指定时间戳,会有什么区别吗?因为指定的时间也需要在kibana中设置?