ELK：kibana使用的lucene查詢語法

kibana在ELK陣營中用來查詢展現數據
elasticsearch構建在Lucene之上，過濾器語法和Lucene相同

kibana4官方演示頁面

全文搜索

在搜索欄輸入login，會返回全部字段值中包含login的文檔

使用雙引號包起來做爲一個短語搜索
"like Gecko"

字段

也能夠按頁面左側顯示的字段搜索
限定字段全文搜索：field:value
精確搜索：關鍵字加上雙引號 filed:"value"
http.code:404 搜索http狀態碼爲404的文檔

字段自己是否存在
_exists_:http：返回結果中須要有http字段
_missing_:http：不能含有http字段

通配符

? 匹配單個字符
* 匹配0到多個字符

kiba?a, el*search

? * 不能用做第一個字符，例如：?text *text

正則

es支持部分正則功能
mesg:/mes{2}ages?/

模糊搜索

~:在一個單詞後面加上~啓用模糊搜索

first~ 也能匹配到 frist

還能夠指定須要多少類似度
cromm~0.3 會匹配到 from 和 chrome
數值範圍0.0 ~ 1.0，默認0.5，越大越接近搜索的原始值

近似搜索

在短語後面加上~
"select where"~3 表示 select 和 where 中間隔着3個單詞之內

範圍搜索

數值和時間類型的字段能夠對某一範圍進行查詢
length:[100 TO 200]
date:{"now-6h" TO "now"}
[ ] 表示端點數值包含在範圍內，{ } 表示端點數值不包含在範圍內

邏輯操做

AND
OR

+：搜索結果中必須包含此項
-：不能含有此項
+apache -jakarta test：結果中必須存在apache，不能有jakarta，test無關緊要

分組

(jakarta OR apache) AND jakarta

字段分組

title:(+return +"pink panther")

轉義特殊字符

+ - && || ! () {} [] ^" ~ * ? : \
以上字符看成值搜索的時候須要用\轉義