一. 定义索引模式匹配
1、前缀模糊匹配,一个模式匹配多个索引
每一个数据集导入到Elasticsearch后会有一个索引匹配模式,在上段内容莎士比亚数据集有一个索引名称为shakespeare,账户数据集的索引名称为bank。一个索引匹配模式就是一个字符串包含可选的通配符,它能匹配多个索引。比如,在常用的日志案例中,一个典型的索引名称包含MM-DD-YYYY格式的日期,因此一个5月的索引匹配模式可能是这样:logstash-2015.05*。
2、选择时间字段
Logstash数据集包含时间系列的数据,所以在点击Add New按钮创建完模式匹配后,确保Index contains time-based events复选框勾选,并在Time-field name下拉列表中选择@timestamp字段。
3、Discover查询数据
选择创建的test*模式,点击查询
二、 基本查询用法
1、分词查询,输入:测试 日志
分词查询,匹配任何字段包含(测试或日志)
2、不分词、输入:"测试 日志"
匹配任何字段包含(测试 日志)
3、指定字段查询、输入:level:INFO
查询level字段为INFO
4、指定字段查询and多条件查询、输入:level:INFO and message:测试 日志
查询level字段为INFO且message匹配字段包含(测试或日志)
5、指定字段查询or多条件查询、输入:level:INFO ormessage:测试 日志
查询level字段为INFO或者message匹配字段包含(测试或日志)
6、范围查询
account_number:<100 AND balance:>47500
7、正则表达式
* 匹配0到多个字符:*oken
? 匹配单个字符 : tok?n
二、 数据可视化
不只是发现数据 Visualize页面的可视化工具能使你用好几种不同的方式展示你数据集的很多方面。
原文地址:https://www.cnblogs.com/wangzhuxing/p/9693707.html