根據某個字段查詢
- 精確匹配:
agent:"Mozilla/5.0" -
如果不帶雙引號,只要包含指定值就可以搜索到
agent:Mozilla/5.0 -
如果是數值類型沒有以上區別
數組范圍查詢
-
指定區間:
response:[100 TO 200] -
大於等於指定數值的:
response:[201 TO *] -
小於等於指定數值的:
response:[* TO 200]
注意:TO 必須是大寫
從指定時間到現在/或者查詢指定時間前數據
-
2015-05-20T09:20:41.943Z之后的數據:
@timestamp:{2015-05-20T09:20:41.943Z TO *} -
2015-05-20T09:20:41.943Z之前的數據:
@timestamp:{* TO 2015-05-20T09:20:41.943Z } -
指定時間范圍:
@timestamp:{2015-05-20T09:20:41.943Z TO 015-05-22T09:20:41.943Z}
注意:TO 必須是大寫;09:20:41事實上是17:20:41,存在8個小時差
正則匹配
-
包含指定值:
request:/uploads*/ -
不包含指定值:
!request:/uploads*/
邏輯查詢
-
AND(與關系數據庫一樣)
request:/uploads*/ AND response:404 -
OR(與關系數據庫一樣)
request:/uploads*/ OR response:200 -
組合查詢:
(uid OR token) AND version
存在/不存在
- 存在host字段但不存在url字段:
_exists_:host AND _missing_:url
特殊轉義字符
`+ – && || ! () {} [] ^” ~ * ? : \`
以上字符當作值搜索的時候需要用\轉義
參考:
https://segmentfault.com/a/1190000002972420
http://blog.csdn.net/pistolove/article/details/53693963