大家好，欢迎来到IT知识分享网。

概述

在kibana中，可通过搜索查询过滤事务或者在visualization界面点击元素过滤。

记得先启用查询功能

注意：Kibana拆分字段的时候是根据空格拆分的。

例如：nested exception is java.net.SocketTimeoutException: Read timed out ，

单独搜索 nested ，exception 都可以，但单独搜索 SocketTimeoutException 是搜不到的。

但是java.net.SocketTimeoutException可以搜索到。

1、创建查询

在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写。如查询类型是doc，且message包含debug。

_type : doc and message : debug

2、字符串查询

查询可以包含一个或多个字或者短语。短语需要使用双引号引起来。如：

每个字段都会匹配过去。要搜索一个确切的字符串，需要使用双引号引起来。

如果不带引号，将会匹配每个单词。

3、基于字段的查询

只搜索特定的字段。

4、正则表达式查询

kibana支持正则表达式过滤器和表达式。

正则表达式通过使用 / 包围，可以植入到查询的字符串中: message: /Ex?(cep[tion])/

另一个正则的使用，匹配的含义是「两位非abc的任意字符」: info.recallId: /[^abc]{2}/

5、范围查询

允许一个字段值在某个区间。[] 包含该值，{}不包含。

# [min TO max] 是闭区间

# {min TO max} 是开区间

# * 表示一端不限制范围

@timestamp: [00 TO 00]

# * 表示一端不限制范围

count:[10 TO *]

6、布尔查询

布尔运算符（AND，OR，NOT）允许通过逻辑运算符组合多个子查询。

运算符AND/OR/NOT必须大写。

7、模糊查询

使用”~”字符以及一个紧随其后的整数值，当使用该修饰符修饰一个词项的时候，意味着我们想搜索那些包含该此项近词项的文档。”~”字符后的整数值确定了近似词项与原始词项的最大编辑距离。

# mastering book Elasticsearch 也会被认为匹配

title: “mastering Elasticsearch”~2

8、创建过滤器

filter for value 或者 filter out value可通过单击可视化中的元素进行筛选。

9、Kibana 中一些好用的功能

1） Save Search:可以保存之前的 query，通过历史记录可以查找最近的使用。

2） 时间过滤器:可以设置相对 relative 或者绝对 absolute 时间过滤器，前者是相对于当前时间的时间，后者是绝对时间。

3）自动刷新:固定的查询条件的情况下，可以设置自动刷新的时间来刷新可视区域。

4）直方图选择区域:选择区域可以出发时间过滤器。

5）字段列表搜索字段:可以通过 add 添加不同组合。

6）share 功能:导航栏处有一个 share 按钮，将查询的语句通过链接的方式进行分享，团队成员一起查询。

7）应用例子-某用户的推荐 bad case: 确定这个 bad case 的请求参数，拿到 id 和 domain, 确定请求发生的时间或者时间段

# 已知 domain 为 bbs_app_recomm，并且用户名为「oscar」的请求，在2017年11月7日 下午4点前后，有一次推荐的 bad case，需要这次推荐的过程，了解为何会产生这次推荐的结果。

# 通过查询到的结果上下浏览，得到该用户的 recall 和 rerank 结果，大致可以找到 bad case 的原因。

message: “oscar” AND @timestamp: 00

觉得有用的朋友多帮忙转发哦！后面会分享更多devops和DBA方面的内容，感兴趣的朋友可以关注下~