【2.3 分布式日志搜索系统（ELK）】Kibana 搜索框查询日志技巧

在Kibana中，你可以使用Lucene查询语法来创建复杂的搜索查询。以下是一些常用的查询技巧和示例：

1. 精确匹配：使用双引号""来查询完全匹配的字段值。

   
   
   
   "error"

2. 条件过滤：使用AND, OR, NOT来组合条件。

   
   
   
   error AND "timeout exception"

3. 范围搜索：使用[ ]来搜索一个范围内的值。

   
   
   
   @timestamp:[2023-04-01T00:00:00Z TO 2023-04-02T00:00:00Z]

4. 通配符搜索：使用*来匹配任何字符。

   
   
   
   message:*timeout*

5. 正则表达式：使用~来进行正则表达式匹配。

   
   
   
   message:~".*\d+ timeout .*"

6. 字段过滤：搜索特定字段的值。

   
   
   
   message:*

7. 高亮搜索结果：使用+来包含高亮的字段。

   
   
   
   +message:error +level:critical

8. 模糊搜索：使用~来进行模糊匹配。

   
   
   
   message:~"error message"

9. 限制搜索结果：使用size参数限制返回的结果数量。

   
   
   
   _exists_:"error.message":(error) AND "timeout exception" | size:100

10. 时间范围限制：使用@timestamp限制搜索的时间范围。

    
    
    
    @timestamp:["2023-04-01T00:00" TO "2023-04-02T00:00"]

这些是在Kibana搜索框中使用的一些基本和高级查询技巧。你可以根据需要组合这些查询条件以满足特定的搜索需求。