原文网址：Kibana--KQL查询语法的使用_IT利刃出鞘的博客-CSDN博客

简介

说明

本文介绍Kinaba的KQL查询语法的使用。

官网网址

KQL语法：https://www.elastic.co/guide/en/kibana/7.7/kuery-query.html

Lucene语法：https://www.elastic.co/guide/en/kibana/7.7/lucene-query.html

粉丝福利：有很多粉丝私信问我有没有Java的面试及PDF书籍等资料，我整理了一下，包含：真实面试题汇总、简历模板、PDF书籍、PPT模板等。这些是我自己也在用的资料，面试题是面试官问到我的问题的整理，其他资料也是我自用的，真正实用、靠谱。资料可以从这里免费获取：资料地址

Kibana的两种查询语法

Kibana的7.x版本支持两种查询语法：

KQL（Kibana Query Language）语法
Lucene 语法

默认是KQL，如果关闭KQL，则使用Lucene语法。

Kibana查询界面的进入方式如下：

KQL查询语法

全文搜索

说明

直接输入查询内容即可。

示例：查找包含hello，或者包含world，或者两者都包含。

hello world

限定字段

语法

字段名: 匹配值

示例1：查询FlightNum字段匹配"4H2KUBH"字符串的文档。

FlightNum: 4H2KUBH

示例2：查询FlightNum字段存在（无论值是什么）的文档。

FlightNum: *

范围查询

说明

可以指定日期、数字或者字符串字段的范围。关系运算符只能用在数值和时间类型的字段。

支持关系运算符如下：

<= 小于等于
>= 大于等于
< 小于
> 大于

示例：年龄大于等于30的

age >= 30

逻辑操作

支持逻辑运算符如下:

and：与
or：或
not：非

示例1：and 的用法

查询name字段包含jane，且addr字段包含beijing的记录。

name:jane and addr:beijing

注意：查询结果不区分大小写

示例2：or 的用法

查询name字段包含jane，或者addr字段包含beijing的记录，或者两者都匹配。

name:jane or addr:beijing

示例3：not 的用法

查询出response字段中不包含200的记录

not response:200

查询response包含200，并且整条记录不包含yes的数据记录

response:200 and not yes

查询response包含200，且response不包含yes的记录

response:(200 and not yes)

示例4：多个运算符结合

查询name包含jane且addr包含beijing的记录，或者job包含teacher的记录。

name:jane and addr:beijing or job:teacher

KQL中，and的优先级高于or。上方结果可以使用小括号来理解

(name:jane and addr:beijing) or job:teacher

示例5：值里使用运算符

查询response包含200，或者response包含404，或者包含200和404的记录。

response:(200 or 404)

或者

response:200 or response:400

注意：不保证顺序、不区分大小写。

嵌套查询

原始数据

{"level1": [{"level2": [{"prop1": "foo","prop2": "bar"},{"prop1": "baz","prop2": "qux"}]}]
}

需求

查找 level1.level2.prop1 是 foo 或者是 baz的

写法

level1.level2 { prop1: "foo" or prop1: "baz" }

KQL查询通用规则

如下几项规则适用于所有场景，包括：全文检索、限定字段、模糊字段等。

引号

直接输入内容则会将内容进行分词，然后查询；若不想分词，整词查询，则两边加引号即可。

示例1：查找包含hello，或者包含world，或者两者都包含。

hello world

示例2：查找包含hello world的。

"hello world"

模糊查询

说明

? 匹配单个字符

* 匹配0到多个字符

示例1：全文索引

下边这个可匹配：kibana

kiba?a

下边这个可匹配：elasticsearch

el*search

示例2：限定字段

下边这个可匹配title含有kibana的文档。

title:kiba?a

示例3：模糊字段

下边这个可匹配title含有kibana的文档。

tit*:kibana

容错查询

说明

~: 在一个单词后面加上~启用模糊搜索，可以搜到一些拼写错误的单词。

示例

first~

能匹配到 frist

Kibana--KQL查询语法的使用相关推荐

Kibana KQL查询语法
一.KQL简单介绍 KQL(Kibana Query Language),也就是在Kibana上面进行查询时使用的语法. Kibana中也可以使用Lucene的查询语法. KQL可以参考https:/ ...
Kibana 使用 KQL 查询语法-kibana 常用查询语法
Kibana 查询语言 (KQL) 是一种使用自由文本搜索或基于字段的搜索过滤 Elasticsearch 数据的简单语法. KQL 仅用于过滤数据,并没有对数据进行排序或聚合的作用. KQL 能够在 ...
kibana discover查询语法
前言最近公司要求所有应用接入统一日志管理平台ELK,所以经常会到kibana看板查询日志,为了提高问题排查效率,作为开发人员必需掌握Kibana Query Language.语法类型的知识,坐下笔 ...
kibana KQL语法实例
一.前言现在大多数的公司都会使用ELK组合来对日志数据的收集.存储和提供查询服务,这里就不介绍什么是ELK了,只介绍一些EKL中的查询,也就是K(kibana). 查询数据库,如果是MySQL,那么 ...
在kibana中查询elasticsearch数据的方法（lucene和kql语法）
kibana中查询elasticsearch数据的方法 1. Lucene查询语法 Kibana查询语言基于Lucene查询语法. 为了执行一个文本搜索,可以简单的输入一个文本字符串.例如,如果你想 ...
Kibana - KQL语法
官方文档: https://www.elastic.co/guide/en/kibana/7.17/kuery-query.html KQL:(Kibana Query Language )查询语法是 ...
lucene查询语法，适用于ELk：kibana查询
lucene查询语法,适用于ELk:kibana查询 Kibana在ELK中扮演着数据可视化角色,用来查询及展示数据: Elasticsearch查询采用的是luncene搜索引擎,其4过滤查询语法和 ...
Kubernetes-基于EFK进行统一的日志管理原理(kibana查询语法)
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 EFK安装部署参考:https://blog.csdn.net/luanpeng825485697/article/details/83312662 ...
docker安装es+mac安装Kibana工具+es查询语法笔记
一.docker安装es 1.下载镜像 docker pull elasticsearch:7.9.0 下载完后,查看镜像 docker images 2.启动镜像 docker network ...

Kibana--KQL查询语法的使用

简介