Kibana 用户指南（搜索你的数据）

搜索你的数据

经过在查询栏中输入搜索条件，能够搜索与当前索引模式匹配的索引，你可使用Kibana的标准查询语言（基于Lucene查询语法）或完整的基于JSON的Elasticsearch Query DSL。做为实验性特性，Kibana查询语言可使用自动完成和简化查询语法，你能够在查询栏的options菜单下选择这些特性。

提交搜索请求时，将更新直方图、文档列表和字段列表，以反映搜索结果，命中的总数（匹配的文档）显示在工具栏中，文档列表显示前500个命中。默认状况下，命中的是按时间倒序排列的，最新的文档首先显示，你能够经过单击时间列标题来反转排序顺序，还能够根据任何索引字段中的值对列表进行排序，有关更多信息，请参阅对Documents列表进行排序。

要搜索你的数据，请在查询栏中输入你的搜索条件，而后按Enter或单击search按钮将请求提交到Elasticsearch。

你能够经过在高级设置下将 search:queryLanguage更改成 kuery来默认选择咱们的实验查询特性。

Lucene查询语法

Kibana的查询语言一直基于Lucene查询语法，如下是一些能够帮助你开始的技巧。

• 要执行一个自由的文本搜索，只需输入一个文本字符串，例如，若是你正在搜索web服务器日志，你能够输入safari以搜索safari条文的全部字段。
• 要在特定字段中搜索值，请在该值前面加上字段的名称，例如，你能够输入status:200以查找status字段中包含值200的全部条目。
• 要搜索一个值范围，可使用带括号的范围语法，[START_VALUE TO END_VALUE]，例如，要查找具备4xx状态码的条目，能够输入status:[400 TO 499]。
• 要指定更复杂的搜索条件，可使用布尔运算符AND、OR和NOT，例如，要查找具备4xx状态码并具备php或html的extension的条目，能够输入status:[400 TO 499] AND (extension:php OR extension:html)。

有关Lucene查询语法的详细信息，请参见查询字符串查询文档。

这些示例使用Lucene查询语法，当选择lucene做为查询语言时，你还可使用 Elasticsearch Query DSL提交查询。

Kibana查询语言加强

这个功能是实验性的，在未来的版本中可能会彻底改变或删除。

在6.0中，咱们引入了一种实验性查询语言 Kuery，咱们把从实验中学到的应用到标准的Kibana语查询语言中，所以， Kuery再也不做为独立的选项可用，使用 Kuery保存的搜索将自动选择使用本页面中描述的语言加强，可是，对查询语法作了一些修改，所以请继续阅读有关新内容的详细信息。

从6.3开始，你能够在查询栏的options菜单下选择加入一些使人兴奋的实验性查询语言加强，目前，可选项将支持自动完成功能、脚本字段支持和简化、更容易的使用语法。咱们正在努力构建更多的特性供你尝试，利用这些特性，让咱们知道你的想法!

新的简化语法

若是你熟悉Kibana的旧的lucene查询语法，那么你就应该很快熟悉新语法，基本保持不变，咱们只是改进了一些东西，使查询语言更容易使用，阅读下面的更改。

response:200将匹配response字段匹配值200的文档。

在搜索词的先后加引号将启动短语搜索，例如，message:“Quick brown fox”将在message字段中搜索短语“Quick brown fox”，若是没有引号，你的查询将经过message字段的配置分析器分解为令牌，并将匹配包含这些令牌的文档，不管它们出现的顺序如何。这意味着使用“quick brown fox”的文档会匹配，而使用“quick fox brown”的文档也会匹配，若是你想搜索一个短语，记得使用引号。

查询解析器将再也不在空格上拆分，多个搜索词必须由显式布尔运算符分隔，注意，布尔运算符不区分大小写。

response:200 extension:php在lucene中将变成response:200 and extension:php，这将匹配response与200匹配而且extension与php匹配的文档。

咱们可使用or让条文可选。

response:200 or extension:php将匹配response匹配200、extension匹配php或二者都匹配的文档。

默认状况下，and具备比or更高的优先级。

response:200 and extension:php or extension:css将匹配response为200而且extension为php的文档或extension是css而且response为任何值的文档。

咱们能够用分组覆盖默认优先级。

response:200 and (extension:php or extension:css)将匹配response为200而且extension为php或css的文档。

存在一种简写方式，容许咱们轻松地在单个字段中搜索多个值。

response:(200 or 404)搜索response字段匹配200或404的文档，咱们还能够搜索包含条文列表的多值字段的文档，例如：tags:(success and info and security)。

在条文前加上not可使它们颠倒。

not response:200将匹配全部response不为200的文档。

整个组也能够被颠倒。

response:200 and not (extension:php or extension:css)

范围查询与lucene类似，只是语法上很小的差别。

替代bytes:>1000，咱们省略了冒号:bytes > 1000。

>, >=, <, <=均为有效范围运算符。

现有查询很简单，不须要特殊的操做符，response:*将找到全部存在response字段的文档。

通配符查询可用，machine.os:win*将匹配machine.os字段以"win"开头的文档，它将匹配像“windows 7”和“windows 10”的值。

通配符还容许咱们同时搜索多个字段，当你同时拥有一个text和keyword版本的字段时，这能够派上用场，假设咱们有machine.os和machine.os.keyword字段而且咱们都想要检索"windows 10"这个词，咱们能够像这样作：machine.os*:“windows 10”。

没有字段的条文将在索引设置中与默认字段进行匹配，若是没有设置默认字段，这些条文将与全部字段匹配，例如， response:200查询将在 response字段中搜索值 200，而仅搜索 200的查询将在索引中的全部字段中搜索 200。

保存和打开搜索

保存搜索使你可以从新加载它们到Discover中，并将它们用做可视化的基础，保存搜索将保存搜索查询字符串和当前选择的索引模式。

保存搜索

保存当前搜索：

1. 在Kibana工具栏中点击Save。
2. 输入搜索的名称并单击Save。

你能够从Management/Kibana/Saved Objects导入、导出和删除已保存的搜索。

打开一个保存的搜索

将保存的搜索载入Discover：

1. 单击Kibana工具栏中的Open。
2. 选择要打开的搜索。

若是保存的搜索关联的索引模式与当前选择的索引模式不一样，打开保存的搜索将更改所选的索引模式，用于保存的搜索的查询语言也将被自动选择。

改变你正在搜索的索引

当你提交一个搜索请求时，搜索与当前选择的索引模式匹配的索引，当前索引模式显示在工具栏下面，要更改你正在搜索的索引，请单击索引模式并选择一个不一样的索引模式。

有关索引模式的更多信息，请参见建立索引模式。

刷新搜索结果

随着更多的文档被添加到你正在搜索的索引中，在Discover中显示的并用于显示可视化的搜索结果变得陈旧，你能够配置一个refresh interval来按期从新提交搜索，以检索最新的结果。

启用自动刷新：

1. 在Kibana工具栏上单击Time Picker按钮。
2. 点击Auto refresh。
3. 从列表中选择一个刷新间隔。

启用自动刷新时，刷新间隔将显示在时间选择器旁边，并显示一个暂停按钮，要临时禁用自动刷新，请单击Pause。

若是没有启用自动刷新，你能够经过单击 Refresh手动刷新可视化效果。

---

上一篇：设置时间过滤器

下一篇：按字段过滤