摘要: ES全文搜索的簡易語法是Kibana上使用的搜索語法,一定需要學會,前一篇文章給出的只是基礎的、最根本的CRUD操作,是對單挑數據的操作,但是在Kibana中存在大量的搜索和聚合,動輒上千萬的數據量,所以掌握好ES全文搜索的語法就是使用Kibana的重要保證。
ES全文搜索的簡易語法是Kibana上使用的搜索語法,一定需要學會,前一篇文章給出的只是基礎的、最根本的CRUD操作,是對單挑數據的操作,但是在Kibana中存在大量的搜索和聚合,動輒上千萬的數據量,所以掌握好ES全文搜索的語法就是使用Kibana的重要保證。
簡易語法詳細解析:
1、全文檢索:直接寫搜索的單詞 如:搜索‘id’,搜索字符A;
2、單字段的全文檢索:在搜索單詞之前加上字段名和冒號,比如如果知道單詞 Riven(用戶名) 肯定出現在 user字段,可以寫作 user:Riven;
3、單字段的精確檢索:在搜索單詞前後加雙引號,比如 user:"Riven";
4 、多個檢索條件的組合:可以使用 NOT, AND 和 OR 來組合檢索,注意必須是大寫。比如 user:("Riven" OR "riven") AND NOT mesg:BUG;
這個搜索的全意是: 精確搜索字段值爲"Riven" 、"riven"並且mesg字段值不能爲BUG的信息
5、字段是否存在:_exists_:user 表示要求 user 字段存在,_missing_:user 表示要求 user 字段不存在;
6、通配符:用 ? 表示單字母,* 表示任意個字母。比如 fir?t mess*;
7、正則:需要比通配符更復雜一點的表達式,可以使用正則。比如 mesg:/mes{2}ages?/。注意 ES 中正則性能很差,而且支持的功能也不是特別強大,儘量不要使用;
8、近似搜索:用 ~ 表示搜索單詞可能有一兩個字母寫的不對;
9、範圍搜索:對數值和時間,ES 都可以使用範圍搜索,比如:size:>300,date:["now-6h" TO "now"} 等。其中,**[] 表示端點數值包含在範圍內**,**{} 表示端點數值不包含在範圍內**;以上九條就是ES全文搜索的簡易語法使用,這些語法全部都可以在Kibana中的任何一個搜索框內使用:
如果我想要搜索帶有字符A的信息:
如果我們要精確檢索一個單詞"params":
如果我把搜索語句改爲"params" NOT '回款' 則,帶回款字樣的信息將不會在出現在展示列表裏面.
# 注意: 搜索關係詞 必須大寫
其他的檢索語法和前面的實例並無不同,在這裏就不一一展示了,感興趣的同學可以自己試試.
還有一個不能被忽略的重要功能,那就是儲存基礎的搜索簡易,以備下面的圖形化展示做鋪墊。
怎麼儲存呢?
搜索建議怎麼用?在圖形制作細節我會進行介紹。版權聲明:本文內容爲轉載,版權歸作者所有。
ELK日誌監控分析系統Logstash詳解之——input模塊
ELK日誌監控分析系統Logstash詳解之——filter模塊
ELK日誌監控分析系統Logstash詳解之——output模塊
ELK日誌分析Elasticsearch模塊——語法基礎CRUD