Kibana 用戶指南（搜索你的數據）

搜索你的數據

經過在查詢欄中輸入搜索條件，能夠搜索與當前索引模式匹配的索引，你可使用Kibana的標準查詢語言（基於Lucene查詢語法）或完整的基於JSON的Elasticsearch Query DSL。做爲實驗性特性，Kibana查詢語言可使用自動完成和簡化查詢語法，你能夠在查詢欄的options菜單下選擇這些特性。

提交搜索請求時，將更新直方圖、文檔列表和字段列表，以反映搜索結果，命中的總數（匹配的文檔）顯示在工具欄中，文檔列表顯示前500個命中。默認狀況下，命中的是按時間倒序排列的，最新的文檔首先顯示，你能夠經過單擊時間列標題來反轉排序順序，還能夠根據任何索引字段中的值對列表進行排序，有關更多信息，請參閱對Documents列表進行排序。

要搜索你的數據，請在查詢欄中輸入你的搜索條件，而後按Enter或單擊search按鈕將請求提交到Elasticsearch。

你能夠經過在高級設置下將 search:queryLanguage更改成 kuery來默認選擇咱們的實驗查詢特性。

Lucene查詢語法

Kibana的查詢語言一直基於Lucene查詢語法，如下是一些能夠幫助你開始的技巧。

• 要執行一個自由的文本搜索，只需輸入一個文本字符串，例如，若是你正在搜索web服務器日誌，你能夠輸入safari以搜索safari條文的全部字段。
• 要在特定字段中搜索值，請在該值前面加上字段的名稱，例如，你能夠輸入status:200以查找status字段中包含值200的全部條目。
• 要搜索一個值範圍，可使用帶括號的範圍語法，[START_VALUE TO END_VALUE]，例如，要查找具備4xx狀態碼的條目，能夠輸入status:[400 TO 499]。
• 要指定更復雜的搜索條件，可使用布爾運算符AND、OR和NOT，例如，要查找具備4xx狀態碼並具備php或html的extension的條目，能夠輸入status:[400 TO 499] AND (extension:php OR extension:html)。

有關Lucene查詢語法的詳細信息，請參見查詢字符串查詢文檔。

這些示例使用Lucene查詢語法，當選擇lucene做爲查詢語言時，你還可使用 Elasticsearch Query DSL提交查詢。

Kibana查詢語言加強

這個功能是實驗性的，在未來的版本中可能會徹底改變或刪除。

在6.0中，咱們引入了一種實驗性查詢語言 Kuery，咱們把從實驗中學到的應用到標準的Kibana語查詢語言中，所以， Kuery再也不做爲獨立的選項可用，使用 Kuery保存的搜索將自動選擇使用本頁面中描述的語言加強，可是，對查詢語法作了一些修改，所以請繼續閱讀有關新內容的詳細信息。

從6.3開始，你能夠在查詢欄的options菜單下選擇加入一些使人興奮的實驗性查詢語言加強，目前，可選項將支持自動完成功能、腳本字段支持和簡化、更容易的使用語法。咱們正在努力構建更多的特性供你嘗試，利用這些特性，讓咱們知道你的想法!

新的簡化語法

若是你熟悉Kibana的舊的lucene查詢語法，那麼你就應該很快熟悉新語法，基本保持不變，咱們只是改進了一些東西，使查詢語言更容易使用，閱讀下面的更改。

response:200將匹配response字段匹配值200的文檔。

在搜索詞的先後加引號將啓動短語搜索，例如，message:「Quick brown fox」將在message字段中搜索短語「Quick brown fox」，若是沒有引號，你的查詢將經過message字段的配置分析器分解爲令牌，並將匹配包含這些令牌的文檔，不管它們出現的順序如何。這意味着使用「quick brown fox」的文檔會匹配，而使用「quick fox brown」的文檔也會匹配，若是你想搜索一個短語，記得使用引號。

查詢解析器將再也不在空格上拆分，多個搜索詞必須由顯式布爾運算符分隔，注意，布爾運算符不區分大小寫。

response:200 extension:php在lucene中將變成response:200 and extension:php，這將匹配response與200匹配而且extension與php匹配的文檔。

咱們可使用or讓條文可選。

response:200 or extension:php將匹配response匹配200、extension匹配php或二者都匹配的文檔。

默認狀況下，and具備比or更高的優先級。

response:200 and extension:php or extension:css將匹配response爲200而且extension爲php的文檔或extension是css而且response爲任何值的文檔。

咱們能夠用分組覆蓋默認優先級。

response:200 and (extension:php or extension:css)將匹配response爲200而且extension爲php或css的文檔。

存在一種簡寫方式，容許咱們輕鬆地在單個字段中搜索多個值。

response:(200 or 404)搜索response字段匹配200或404的文檔，咱們還能夠搜索包含條文列表的多值字段的文檔，例如：tags:(success and info and security)。

在條文前加上not可使它們顛倒。

not response:200將匹配全部response不爲200的文檔。

整個組也能夠被顛倒。

response:200 and not (extension:php or extension:css)

範圍查詢與lucene類似，只是語法上很小的差別。

替代bytes:>1000，咱們省略了冒號:bytes > 1000。

>, >=, <, <=均爲有效範圍運算符。

現有查詢很簡單，不須要特殊的操做符，response:*將找到全部存在response字段的文檔。

通配符查詢可用，machine.os:win*將匹配machine.os字段以"win"開頭的文檔，它將匹配像「windows 7」和「windows 10」的值。

通配符還容許咱們同時搜索多個字段，當你同時擁有一個text和keyword版本的字段時，這能夠派上用場，假設咱們有machine.os和machine.os.keyword字段而且咱們都想要檢索"windows 10"這個詞，咱們能夠像這樣作：machine.os*:「windows 10」。

沒有字段的條文將在索引設置中與默認字段進行匹配，若是沒有設置默認字段，這些條文將與全部字段匹配，例如， response:200查詢將在 response字段中搜索值 200，而僅搜索 200的查詢將在索引中的全部字段中搜索 200。

保存和打開搜索

保存搜索使你可以從新加載它們到Discover中，並將它們用做可視化的基礎，保存搜索將保存搜索查詢字符串和當前選擇的索引模式。

保存搜索

保存當前搜索：

1. 在Kibana工具欄中點擊Save。
2. 輸入搜索的名稱並單擊Save。

你能夠從Management/Kibana/Saved Objects導入、導出和刪除已保存的搜索。

打開一個保存的搜索

將保存的搜索載入Discover：

1. 單擊Kibana工具欄中的Open。
2. 選擇要打開的搜索。

若是保存的搜索關聯的索引模式與當前選擇的索引模式不一樣，打開保存的搜索將更改所選的索引模式，用於保存的搜索的查詢語言也將被自動選擇。

改變你正在搜索的索引

當你提交一個搜索請求時，搜索與當前選擇的索引模式匹配的索引，當前索引模式顯示在工具欄下面，要更改你正在搜索的索引，請單擊索引模式並選擇一個不一樣的索引模式。

有關索引模式的更多信息，請參見建立索引模式。

刷新搜索結果

隨着更多的文檔被添加到你正在搜索的索引中，在Discover中顯示的並用於顯示可視化的搜索結果變得陳舊，你能夠配置一個refresh interval來按期從新提交搜索，以檢索最新的結果。

啓用自動刷新：

1. 在Kibana工具欄上單擊Time Picker按鈕。
2. 點擊Auto refresh。
3. 從列表中選擇一個刷新間隔。

啓用自動刷新時，刷新間隔將顯示在時間選擇器旁邊，並顯示一個暫停按鈕，要臨時禁用自動刷新，請單擊Pause。

若是沒有啓用自動刷新，你能夠經過單擊 Refresh手動刷新可視化效果。

---

上一篇：設置時間過濾器

下一篇：按字段過濾