原文地址:https://www.iyunw.cn/archives/ji-yi-ci-kibana-jing-que-pi-pei-shu-ju-wen-ti/
今天線上環境出現異常,開發需要查看日志,按照以往的慣例,我直接讓他查看我搭建ELK平台去查找,可是一會兒后返回來說查詢有問題,才發現kibana默認是模糊匹配導致數據異常混亂,經過查詢資料得出解決辦法,方便以后查詢。
如下圖是開發查詢效果圖
更改查詢條件:加上雙引號,正常,精確匹配
附加:ELK搜索條件
1、要搜索一個確切的字符串,即精確搜索,需要使用雙引號引起來:path:"/app/logs/nginx/access.log"
2、如果不帶引號,將會匹配每個單詞:uid token
3、模糊搜索:path:"/app/~"
4、* 匹配0到多個字符:*oken
5、? 匹配單個字符 : tok?n
6、+:搜索結果中必須包含此項 -:不能含有此項 什么都沒有則可有可無: +token -appVersion appCode
7、運算符AND/OR/NOT必須大寫:token AND uid ;token OR uid;NOT uid
8、允許一個字段值在某個區間([] 包含該值,{}不包含):@version:[1 TO 3]
9、組合查詢:(uid OR token) AND version
10、轉義特殊字符 + – && || ! ( ) { } [ ] ^ " ~ * ? : \ 轉義特殊字符只需在字符前加上符號\