Kibana日志查询

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

# 全文查询 Exception
Exception

# 指定查询字段 message 里的 Exception
message: Exception

# 查询短语
message: "java.lang.NullPointerException"

# 任何 message 字段都包含 Exception
message\*: Exception

# 通配符的使用，? 代替单个字符，* 代替零个或者多个字符
message: Exceptio*

# 正则表达式通过使用 / 包围，可以植入到查询的字符串中
message: /Ex?(cep[tion])/

# 另一个正则的使用，匹配的含义是「两位非abc的任意字符」
info.recallId: /[^abc]{2}/

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# 支持 AND, OR, NOT，也可以写成&&, ||, !操作符
message: ((Exception AND Error) OR (Error AND Exception) OR Error) AND NOT Exception

# 包含 lucene 但不包含 elasticsearch
lucene NOT elasticsearch

# + 必须包含，其他可有可无，lucene 必须包含，apache 可有可无...
+lucene apache

# 不能出现的操作符号"-"，包含了 lucence，但不包含 apache...
+lucene-apache    

1
2
3
4
5
6

# [min TO max] 是闭区间
# {min TO max} 是开区间
@timestamp: [1510536210000 TO 1510550000000]

# * 表示一端不限制范围
count:[10 TO *]

1
2
3
4
5

# 例子
message: "domain\=jobmd_ent4ent" 

# 转义符
+-=&&||><!(){}[]^"~*?:\/

1
2

# mastering book Elasticsearch 也会被认为匹配
title: "mastering Elasticsearch"~2

1
2
3
4
5

# 已知 domain 为 bbs_app_recomm，并且用户名为「oscar」的请求，在2017年11月7日 下午4点前后，有一次推荐的 bad case，需要这次推荐的过程，了解为何会产生这次推荐的结果。

# 通过查询到的结果上下浏览，得到该用户的 recall 和 rerank 结果，大致可以找到 bad case 的原因。

message: "oscar" AND @timestamp: 1510042056000