[转帖]Kibana查询语言（KQL）

kibana,查询语言,kql · 浏览次数 : 0

小编点评

**EKL KQL教程** **一.前言** ELK是用来收集、存储和提供日志数据的组合工具。本文将简述KQL的基本语法，介绍如何使用KQL查询数据库。 **二.KQL简介** KQL是Kibana的查询语言，用于在Kibana中进行搜索和过滤。 **三.索引匹配查询** 在进行搜索时，建议使用指定索引查询，以提高效率。例如，搜索response值为200的文档对象，可以使用response:200。 **四.示例** 以下是一些KQL查询实例： - **response:200**：查询response字段包含200的文档对象。 - **message:\"hello world yes\"**：查询message字段包含"hello world yes"的文档对象。 - **name:jane or addr:beijing**：查询name或addr字段包含"jane"的文档对象。 **五.总结** KQL是一种简单的查询语言，可用于在Kibana中进行高效的搜索。

正文

时间 2020-12-27

标签 html java 数据库 ide ui 翻译日志 htm 对象 blog 栏目 HTML 繁體版

原文 https://www.cnblogs.com/-beyond/p/14159002.html

一.前言

　　如今大多数的公司都会使用ELK组合来对日志数据的收集、存储和提供查询服务，这里就不介绍什么是ELK了，只介绍一些EKL中的查询，也就是K（kibana）。html

　　查询数据库，若是是MySQL，那么就须要使用MySQL的语法；一样的，在Kibana上查询数据，也须要使用Kibana的语法，而Kibana的查询语法叫作Kibana Query Language，简称KQL。java

　　本文的内容主要来自ES的官网，简单翻译了一下，https://www.elastic.co/guide/en/kibana/7.7/kuery-query.html数据库

　　原文连接：http://www.noobyard.com/article/p-kuomtldu-nz.htmlide

二.KQL简单介绍

　　KQL（Kibana Query Language），也就是在Kibana上面进行查询时使用的语法。ui

　　Kibana中也可使用Lucene的查询语法，可是这里就不介绍了，能够参考https://www.elastic.co/guide/en/kibana/7.7/lucene-query.html翻译

三.使用索引匹配查询

　　在Kibana中进行查询的时候，建议使用指定索引查询，这样的效率更高，而不建议使用全局查找的方式。日志

　　好比查找response为200的日志，那么就写为response:200，这样去查找中response值为200的文档对象；htm

　　若是没有指定response为200，那么只是单纯的查找200，那么可能会返回金额为200的文档对象（假设有金额字段），查询的效率不高，同时也会返回一些不须要的数据；　对象

四.Kibana查询语法

实例1

response:200

　　上面这个表达式，会查询出response字段中包含200的文档对象，注意是包含，包含的是200这一个词，好比下面几种状况都会被查询出来blog

200
hello world 200
hello 200 world

　　须要注意的是1200或者2001，是不能被查出来的。

实例2

message:"hello world yes"

　　上面这个表达式，是针对message字段进行搜索，在搜索的时候不会区分大小写，也就是说，Hello world YES也是会被搜索出来的；

　　须要注意，上面的"hello world yes"使用了引号，这样的话，这3个单词会被做为一个词进行查询，不会再进行分词，也就是说匹配的时候只会匹配hello world yes这样的顺序匹配，而不会匹配出helllo yes world；

实例3

message:hello world

　　上面这个表达式，针对message字段进行搜索，搜索message中包含hello，或者包含world，或者二者都包含的状况；

　　须要注意的是，不区分大小写，也不会保证顺序，也就是说，下面几种状况都会被匹配

hello
world
Hello
World
hello world
Hello world
hello yes World
yes world
world yes

实例4

name:jane or addr:beijing

　　上面这个查询条件，会查询name字段包含jane，或者addr字段包含beijing的记录，或者二者都匹配；

　　须要注意的是，or表示“或”，不区分大小写；

实例5

name:jane and addr:beijing

　　上面这个条件，会查询name字段包含jane，且addr字段包含beijing的记录。

实例6

name:jane and addr:beijing or job:teacher

　　上面这个查询条件中，出现了and和or，须要记住的是，KQL中，and的优先级高于or；

　　因此上面的查询条件，会查询name包含jane，且addr包含beijing的记录，或者job包含teacher的记录，可使用括号来让上面的查询条件更好理解：

(name:jane and addr:beijing) or job:teacher

实例7

name:jane and (addr:beijing or job:teacher)

　　上面这个表达式，主要是想代表，可使用括号来控制匹配的优先级。

实例8

response:(200 or 404)

　　上面这个表达式，会查询response包含200，或者response包含404，或者包含200和404的记录（不保证顺序、不区分大小写）；

　　同时可使用and来表示“且”的关系。

实例9

not response:200

　　上面这个查询条件，会查询出response字段中不包含200的记录。

实例10

response:200 and not yes

　　上面这个查询条件，会查询response包含200，而且整条记录不包含yes的数据记录；

实例11

response:(200 and not yes)

　　上面这个查询条件，会查询response包含200，且response不包含yes的记录。

实例12

response:*

　　上面这个查询条件，会返回全部包含response字段的文档对象。

实例13

machine*:hello

　　上面这个查询条件，会查询machine1字段，machine2字段...machinexyzabc字段包含hello的数据记录，这里只是想表达，对于搜索的字段列，也是可使用通配符的。

五.总结

　　KQL仍是比较简单地，主要记住KQL匹配时是不区分大小写的，可使用括号改变匹配优先级；

　　另一个要点就是，匹配是“包含”，某个字段“包含”某个词，而不是某个字段的值为某个词。

原文连接：http://www.noobyard.com/article/p-kuomtldu-nz.html