Kibana 用户指南（按字段过滤）

经过字段过滤

你能够过滤搜索结果，只显示那些在字段中包含特定值的文档，你还能够建立否认过滤器，以排除包含指定字段值的文档。

你能够经过字段列表、文档列表或手动添加过滤器来添加字段过滤器，除了建立确定过滤器和否认筛选器以外，文档列表还容许你对字段是否存在进行过滤，查询栏下面显示了应用的过滤器，否认过滤器显示为红色。

从字段列表中添加一个过滤器：

1. 单击要过滤的字段的名称，这将显示该字段的前5个值。
   
2. 要添加一个确定过滤器，单击确定过滤器按钮，这只包括字段中包含该值的文档。
3. 若要添加否认过滤器，请单击否认过滤器按钮，这将排除字段中包含该值的文档。

从文档列表中添加一个过滤器：

1. 经过单击文档列表条目左侧的展开按钮展开文档，能够在文档列表中展开文档。

   

2. 要添加确定过滤器，请单击字段名称右侧的确定过滤器按钮，这只包括字段中包含该值的文档。
3. 若要添加否认过滤器，请单击否认过滤器按钮，这将排除字段中包含该值的文档。
4. 要过滤文档是否包含字段，请单击字段名称右侧的存在按钮，这只包括那些包含此字段的文档。

手动添加过滤器：

1. 点击Add Filter，将显示一个弹出窗口，以便你建立过滤器。
   
2. 选择要过滤的字段，这个字段列表将包含你正在查询的索引模式中的字段。
   
3. 为你的过滤器选择一个操做。
   

能够选择如下操做符：

is	过滤字段的值匹配给定的值
is not	过滤字段的值不匹配给定的值
is one of	过滤字段的值匹配指定的值之一
is not one of	过滤字段的值不匹配任何指定的值
is between	过滤字段的值在给定的范围内
is not between	过滤字段的值不在给定的范围内
exists	过滤字段存在任何值
does not exist	过滤字段中不存在值

1. 为你的过滤器选择值，若是要对聚合字段进行过滤，能够将索引中的值建议为选择。
   
2. （可选的）为过滤器指定一个标签，若是指定一个标签，它将显示在查询栏下面，而不是过滤器定义下面。
3. 点击Save，过滤器将应用于你的搜索，并显示在查询栏下面。

若是因为值建议而致使长时间运行查询，能够经过将高级设置 filterEditor:suggestValues设置为 false关闭建议。

管理过滤器

要修改过滤器，将鼠标悬停在它上面并单击其中一个操做按钮。

• 启用过滤器 => 禁用过滤器而不删除它，再次单击以从新启用过滤器，斜条纹表示过滤器被禁用。
• Pin过滤器 => Pin过滤器 ，在Kibana中切换上下文时，固定过滤器将持续存在。例如，你能够在Discover中插入一个过滤器，当你切换到Visualize时，它仍然保留在原来的位置。注意，过滤器基于特定的索引字段 - 若是正在搜索的索引不包含固定过滤器中的字段，则没有任何效果。
• 颠倒过滤器 => 从确定滤波器切换到否认滤波器，反之亦然。
• 移除过滤器 => 移除此过滤器。
• 编辑过滤器 => 编辑过滤器定义，容许你手动更新过滤器并为过滤器指定一个标签。

要将过滤操做应用于全部应用过滤器，单击Actions并选择操做。

编辑过滤器

你能够经过更改与过滤器关联的字段、操做符或值来编辑过滤器（请参阅上面的“添加筛选器”部分），或者直接修改过滤器查询来过滤搜索结果，这使你可以建立基于多个字段的更复杂的过滤器。

1. 要编辑过滤器查询，首先单击过滤器的Edit按钮，而后单击Edit Query DSL。
   
2. 而后，你能够编辑过滤器的查询。
   

例如，你能够使用bool查询为示例日志数据建立一个过滤器，该过滤器显示致使404错误的来自加拿大或中国的命中：

{
  "bool": {
    "should": [
      {
        "term": {
          "geoip.country_name.raw": "Canada"
        }
      },
      {
        "term": {
          "geoip.country_name.raw": "China"
        }
      }
    ],
    "must": [
      {
        "term": {
          "response": "404"
        }
      }
    ]
  }
}

---

上一篇：搜索你的数据

下一篇：查看文档数据