一. 定義索引模式匹配
1、前綴模糊匹配,一個模式匹配多個索引
每一個數據集導入到Elasticsearch后會有一個索引匹配模式,在上段內容莎士比亞數據集有一個索引名稱為shakespeare,賬戶數據集的索引名稱為bank。一個索引匹配模式就是一個字符串包含可選的通配符,它能匹配多個索引。比如,在常用的日志案例中,一個典型的索引名稱包含MM-DD-YYYY格式的日期,因此一個5月的索引匹配模式可能是這樣:logstash-2015.05*。
2、選擇時間字段
Logstash數據集包含時間系列的數據,所以在點擊Add New按鈕創建完模式匹配后,確保Index contains time-based events復選框勾選,並在Time-field name下拉列表中選擇@timestamp字段。
3、Discover查詢數據
選擇創建的test*模式,點擊查詢
二、 基本查詢用法
1、分詞查詢,輸入:測試 日志
分詞查詢,匹配任何字段包含(測試或日志)
2、不分詞、輸入:"測試 日志"
匹配任何字段包含(測試 日志)
3、指定字段查詢、輸入:level:INFO
查詢level字段為INFO
4、指定字段查詢and多條件查詢、輸入:level:INFO and message:測試 日志
查詢level字段為INFO且message匹配字段包含(測試或日志)
5、指定字段查詢or多條件查詢、輸入:level:INFO ormessage:測試 日志
查詢level字段為INFO或者message匹配字段包含(測試或日志)
6、范圍查詢
account_number:<100 AND balance:>47500
7、正則表達式
* 匹配0到多個字符:*oken
? 匹配單個字符 : tok?n
二、 數據可視化
不只是發現數據 Visualize頁面的可視化工具能使你用好幾種不同的方式展示你數據集的很多方面。
1、添加可視化統計
2、選擇圖表(選擇餅圖)
3、選擇字段、排序按分詞統計,也可以按照其他方式統計(點擊上方save並保存)
三、 儀表盤
儀表盤就是添加多個可視化統計,固定在一個頁面,可以同時看多個統計圖。右上方可以設置自動刷新。
