在kibana中,可通过搜索查询过滤事务或者在visualization界面点击元素过滤。
创建查询
在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写。如查询类型是http,且状态码是302。type: http AND http.code: 302。
字符串查询
查询可以包含一个或多个字或者短语。短语需要使用双引号引起来。如:
每个字段都会匹配过去。要搜索一个确切的字符串,需要使用双引号引起来。
如果不带引号,将会匹配每个单词。
布尔查询
布尔运算符(AND,OR,NOT)允许通过逻辑运算符组合多个子查询。
运算符AND/OR/NOT必须大写。
NOT type: mysql
mysql.method: SELECT AND mysql.size: [10000 TO *]
(mysql.method: INSERT OR mysql.method: UPDATE) AND responsetime: [30 TO *]
参考:
http://www.ttlsa.com/elk/elk-kibana-query-and-filter/