解决：kibana做图表时Visualize里对应的Y轴X轴里没有显示需要的Field

（ES和Kibana版本6.6.2）

在数据的结果写入ES并通过Kibana图形化展示的时候

Visualize里选完图表后，发现Y轴里没有显示需要的字段，然后在Discover里发现这些要选的字段前面都有个?

Management----->Index Patterns---->

选取你创建的index patterns ---->点击刷新

我竟然没有刷新。。。。

（1）？：提示这个字段未做索引，不能用于visualize和discover的搜索。

（2）# ：number

（3）t： text

Kibana添加索引时，可以选择时间控制字段(Index contains time-based events )，如果Time-field name无法自动出现相关时间字段，可以通过以下方式进行映射：

curl -XPUT http://172.16.55.232:9200/logstash-dx -d '{"mappings":{"trans":{"properties":{"RequestTime":{"type":"date","format":"YYYY:MM:DD HH:mm:ss"}}}}}'

在搜索栏输入要查询的关键词,如 login ,会返回所有字段值中包含 login 的文档

或者使用双引号将多个关键词包起来作为一个短语搜索,如 "like Gecko"

注意:

以以下字段进行说明

field:value 限定字段全文搜索

filed:"value" 精确搜索：关键字加上双引号

http.code:404 搜索http状态码为404的文档

根据字段本身是否存在

_exists_:http 返回结果中需要有http字段

_missing_:http 不能含有http字段

以上字符当作值搜索的时候需要用\转义

? _ 不能用作第一个字符,例如：?text _text

es支持部分正则功能,性能较差, 只有keyword类型的字段支持正则表达式

quikc~ brwn~ foks~

:在一个单词后面加上 启用模糊搜索,可以搜到一些拼写错误的单词

first~ 这种也能匹配到 frist

还可以设置编辑距离（整数）,指定需要多少相似度

cromm~1 会匹配到 from 和 chrome

默认2,越大越接近搜索的原始值,设置为1基本能搜到80%拼写错误的单词

在短语后面加上~,可以搜到被隔开或顺序不同的单词

"where select"~5 表示 select 和 where 中间可以隔着5个单词,可以搜到 select password from users where id=1

数值/时间/IP/字符串 类型的字段可以对某一范围进行查询

使用^使一个词语比另一个搜索优先级更高,默认为1,可以为0~1之间的浮点数,来降低优先级

·+apache -jakarta test aaa bbb ：结果中必须存在apache,不能有jakarta,剩余部分尽量都匹配到

以下使用nginx日志进行搜索展示, kibana中查询语句,

---