以Key:Value的形式構建查詢條件,
Key即是域名(Field), Value即是值項(Term)
默認域名可以省略掉, Lucene的默認域是text域, kibana的默認域是message域, message會包含所有日志內容.
title:abc # 在title這個域中搜索 abc, 所有title 包含 abc 都會被搜索出來.
title:"abc def" # 在title這個域中搜索 abc def 這個完整的字符串.
title:abc def # 這個寫法不同於上面的查詢語句, 其實是兩個查詢條件, 在title域中搜索abc, 並且在默認域中搜索def.
title:"1=1" # 如果term有空格或等於號等特殊字符, 需要用雙引號括起來.
對於數值項可以使用>、<、=操作符
account_number:<100
多個查詢項的組合, 使用大寫的 AND 、 OR 、NOT實現與或非.
title:"The Right Way" AND text:go
account_number:<100 AND balance:>47500
支持通配符
Kibana 一般不需要使用通配符, 因為 Kibana 的 key:value 查詢條件, 只要域值包含 value 就能被搜索出來, 除非我們的值項有多個特征, 可以用通配符將多個特征連起來.
? 號可以匹配任意一個字符
- 號可以匹配任意多個字符
但通配符可以放在term的中間或尾部, 不能放在term的最前面.
支持正則
ES 中正則性能很差,而且支持的功能也不是特別強大,盡量不要使用, 正則表達式需要用//括起來.
message:/[mb]oat/ # 匹配 moat 或者 boat
范圍限定
方括號代表包含邊界值, 花括號代表不包含邊界值
mod_date:[20020101 TO 20030101]
title:{Aida TO Carmen}