ELK日志系统开发,Kibana简单实用Discover(三)
当logstash把数据写入Elasticsearch后,我们就可以使用Kibana来查看日志数据了。
以下是Kibana的Discover截图,注意红框的功能区:
时间范围选择:可以选择查询的时间范围,比如最近1小时内,或者指定的时间范围内。
搜索区域:支持lucene的查询语法,这里后面会讲到。
中间区域是数据区域,展开可以看到每条日志各个字段的内容。
kibana使用lucene的查询语法,详细的内容可以参考:https://www.elastic.co/guide/en/elasticsearch/reference/6.x/query-dsl-query-string-query.html#query-string-syntax
搜索的语法为:[field]:[query],如果不指定field,则会对所有字段进行搜索
例子一:针对数字类型的,比如搜索http状态是500状态的日志,response:500,查询响应时间大于0.1s的请求,upstream_time:>0.1
例子二:针对字符串类型的,比如,我要查询请求这个url路径的请求(/app/user/userInfo),request:"/app/user/userInfo",字符串查询支持正则表达式,也可以这样搜索request:/.*Info.*/
多条件查询:支持多条件的AND和OR组合: [ConditionA] AND [ConditionB] AND ([ConditionC] OR [ConditionD])
掌握了以上查询方式,基本满足日常的日志查询了