Kibana 查询语言 (KQL) 是一种使用自由文本搜索或基于字段的搜索过滤 Elasticsearch 数据的简单语法。 KQL 仅用于过滤数据,并没有对数据进行排序或聚合的作用。
KQL 能够在您键入时建议字段名称、值和运算符。 建议的性能由 Kibana 设置控制。
KQL 具有与 Lucene 查询语法不同的一组特性。 KQL 能够查询嵌套字段和脚本字段。 KQL 不支持正则表达式或使用模糊术语进行搜索。 要使用旧版 Lucene 语法,请单击搜索字段旁边的 KQL,然后关闭 KQL。
术语查询编辑
术语查询使用精确的搜索术语。 空格分隔每个搜索词,并且只需要一个词来匹配文档。 使用引号表示词组匹配。
要使用精确的搜索词进行查询,请输入字段名称,后跟:,然后输入以空格分隔的值:
http.response.status_code:400 401 404对于文本字段,这将匹配任何值,而不管顺序如何:
http.response.body.content.text:quick brown fox要查询确切的短语,请在值周围使用引号:
http.response.body.content.text:"quick brown fox"KQL 不需要字段名称。 如果未提供字段名称,则术语将与索引设置中的默认字段匹配。 要跨字段搜索:
"quick brown fox"
KQL 支持 or、and 和 not。 默认情况下,and 的优先级高于 or。 要覆盖默认优先级,请将括号中的运算符分组。 这些运算符可以是大写或小写。
要匹配响应为 200、扩展名是 php 或两者兼有的文档:
response:200 or extension:php要匹配响应为 200 且扩展名为 php 的文档:
response:200 and extension:php匹配响应为 200 或 404 的文档。
response:(200 or 404)要匹配响应为 200 且扩展名是 php 或 css 的文档:
response:200 and (extension:php or extension:css)要匹配响应为 200 且扩展名为 php 或扩展为 css 且响应为任何内容的文档:
response:200 and extension:php or extension:css要匹配响应不是 200 的文档:
not response:200匹配响应为 200 但扩展名不是 php 或 css 的文档。
response:200 and not (extension:php or extension:css)要匹配包含术语列表的多值字段:
tags:(success and info and security)KQL 支持数字和日期类型的 >、>=、< 和 <=。
account_number >= 100 and items_sold <= 200
通常,Kibana 的时间过滤器足以设置时间范围,但在某些情况下,您可能需要搜索日期。 在引号中包含日期范围。
@timestamp < "2021-01-02T21:55:59"
@timestamp < "2021-01"
@timestamp < "2021"KQL 支持日期数学表达式。
@timestamp < now-1d
updated_at > 2022-02-17||+1M/d存在查询匹配包含任何字段值的文档,在本例中为响应:
response:*Existence 由 Elasticsearch 定义,包括所有值,包括空文本。
通配符查询可用于按字词前缀搜索或搜索多个字段。 出于性能原因,Kibana 的默认设置会阻止前导通配符,但这可以通过高级设置来允许。
要匹配 machine.os 以 win 开头的文档,例如“windows 7”和“windows 10”:
machine.os:win*要匹配多个字段:
machine.os*:windows 10当您拥有字段的文本和关键字版本时,此语法很方便。 该查询会检查 machine.os 和 machine.os.keyword 中是否存在术语 windows 10。
查询嵌套字段的一个主要考虑因素是如何将嵌套查询的部分内容与单个嵌套文档进行匹配。 你可以:
仅将部分查询匹配到单个嵌套文档。 这是大多数用户在查询嵌套字段时想要的。
将部分查询匹配到不同的嵌套文档。 这就是常规对象字段的工作方式。 此查询通常不如匹配单个文档有用。
在以下文档中,items 是一个嵌套字段。 嵌套字段中的每个文档都包含名称、库存和类别。
{
"grocery_name": "Elastic Eats",
"items": [
{
"name": "banana",
"stock": "12",
"category": "fruit"
},
{
"name": "peach",
"stock": "10",
"category": "fruit"
},
{
"name": "carrot",
"stock": "9",
"category": "vegetable"
},
{
"name": "broccoli",
"stock": "5",
"category": "vegetable"
}
]
}匹配单个文档
要匹配库存超过 10 个香蕉的商店:
items:{ name:banana and stock > 10 }items 是嵌套路径。 花括号(嵌套组)内的所有内容都必须匹配单个嵌套文档。 以下查询不返回任何匹配项,因为没有单个嵌套文档具有库存为 9 的香蕉。
items:{ name:banana and stock:9 }匹配不同的文档
以下子查询位于单独的嵌套组中,可以匹配不同的嵌套文档:
items:{ name:banana } and items:{ stock:9 }name:banana 匹配数组中的第一个文档,stock:9 匹配数组中的第三个文档。
匹配单个和不同的文档
要查找拥有 10 多种香蕉且还备有蔬菜的商店:
items:{ name:banana and stock > 10 } and items:{ category:vegetable }第一个嵌套组(名称:banana 和 stock > 10)必须匹配单个文档,但 category:vegetables 子查询可以匹配不同的嵌套文档,因为它位于单独的组中。
其他嵌套字段中的嵌套字段
KQL 支持其他嵌套字段中的嵌套字段——您必须指定完整路径。 在本文档中,level1 和 level2 是嵌套字段:
{
"level1": [
{
"level2": [
{
"prop1": "foo",
"prop2": "bar"
},
{
"prop1": "baz",
"prop2": "qux"
}
]
}
]
}要匹配单个嵌套文档:
level1.level2:{ prop1:foo and prop2:bar }
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在用Ruby编写一个简单的程序来检查域列表是否被占用。基本上它循环遍历列表,并使用以下函数进行检查。require'rubygems'require'whois'defcheck_domain(domain)c=Whois::Client.newc.query("google.com").available?end程序不断出错(即使我在google.com中进行硬编码),并打印以下消息。鉴于该程序非常简单,我已经没有什么想法了-有什么建议吗?/Library/Ruby/Gems/1.8/gems/whois-2.0.2/lib/whois/server/adapters/base.
我想将html转换为纯文本。不过,我不想只删除标签,我想智能地保留尽可能多的格式。为插入换行符标签,检测段落并格式化它们等。输入非常简单,通常是格式良好的html(不是整个文档,只是一堆内容,通常没有anchor或图像)。我可以将几个正则表达式放在一起,让我达到80%,但我认为可能有一些现有的解决方案更智能。 最佳答案 首先,不要尝试为此使用正则表达式。很有可能你会想出一个脆弱/脆弱的解决方案,它会随着HTML的变化而崩溃,或者很难管理和维护。您可以使用Nokogiri快速解析HTML并提取文本:require'nokogiri'h