日志查询神器 Kibana简单使用

Kibana 是通向 Elastic 产品集的窗口。 它可以在 Elasticsearch 中对数据进行视觉探索和实时分析。

时间过滤既按照时间范围查询document内容，如查询最近一个小时、最近一天、当天的数据等。也支持具体的时间范围查询(精确到毫秒)。

1).Time Range范围查询

条件查询Kibana支持两种方式查询。

1).通过Add Filter 按钮 添加过滤条件查询如下所示。

ToolBar工具按钮包含

可视化 (Visualize) 功能可以为您的 Elasticsearch 数据创建可视化控件。然后，您就可以创建仪表板将这些可视化控件整合到一起展示。

线形图，区域图和条形图允许您在 X/Y 轴上绘制数据。绘制数据之前首先需要明确X轴Y轴的数据指标是什么，只有确定了XY轴指标之后才能进行绘制。下边我以Vertical Bar(垂直柱形图)为例。

Markdown 控件是一个文本输入字段，支持 Github 风格的 Markdown 文本。Kibana 会渲染输入到该字段的文本，并把结果展示在仪表板上。

语法教程参见：

https://www.runoob.com/markdown/md-tutorial.html

每个时间序列可视化生成器又包含5个子可视化页面

Kibana 仪表板（Dashboard） 展示保存的可视化结果集合。

示例如下：

Options:选项

https://www.elastic.co/guide/en/kibana/6.8/introduction.html

在查询框里， KQL 您可以输入 Elasticsearch 查询语句 来搜索您的数据

搜索关键字key

key:*

搜索关键字key,值value

key:value

搜索关键字key,值value1 或 value2

key:(value1 OR value2)

如果value中是一个很长的字符串，并且中间有短语 类似"my name is xxxx"

可以使用 key:"my name"

对于数字字段您可以使用比较运算符，例如大于（>）、小于（<）或等于（=）

status>200

status>200 AND url_parameter_count>2

NOT status:200

buckets:把符合您搜索条件的文档分成不同类别

Aggregation：聚合类型

Field:字段

Metrics：度量（常用count、Unique Count(选择设备唯一标识)）

画一个版本分布的饼图

我们在此饼图内，再加一个捅，比如查询每个版本年龄段的分布

常用关键字

_search:按条件搜索

_count:查询符合条件的数量

query:搜索参数

match：模糊搜索，分词

term：精准搜索，erm结合bool使用，不进行分词

should是或，must是与，must_not是

3、 sort：按照价格倒序排序

4、 multi_match：根据多个字段查询一个关键词，name和desc中包含“nfc”的doc

5、_source 元数据：想要查询多个字段，例子中为只查询“name”和“price”字段。

6、分页（deep-paging）：查询第一页（每页两条数据）

1、bool

可以组合多个查询条件，bool查询也是采用more_matches_is_better的机制，因此满足must和should子句的文档将会合并起来计算分值。

①must：必须满足

子句（查询）必须出现在匹配的文档中，并将有助于得分。

②filter：过滤器，不计算相关度分数

子句（查询）必须出现在匹配的文档中。但是不像 must查询的分数将被忽略。

Filter子句在filter上下文中执行，这意味着计分被忽略，并且子句被考虑用于缓存。

③should：可能满足 or

子句（查询）应出现在匹配的文档中。

④must_not：必须不满足 不计算相关度分数

子句（查询）不得出现在匹配的文档中。子句在过滤器上下文中执行，这意味着计分被忽略

并且子句被视为用于缓存。由于忽略计分，0因此将返回所有文档的分数。

⑤minimum_should_match：should配合使用，满足几个should条件

⑥range：lt大于，gt小于

bool多条件 name包含xiaomi 不包含erji 描述里包不包含nfc都可以，价钱要大于等于4999

组合查询

搜索一台xiaomi nfc phone或者一台满足 是一台手机 并且 价格小于等于2999

高亮

---