Kibana 用户指南(按字段过滤)

通过字段过滤

你可以过滤搜索结果,只显示那些在字段中包含特定值的文档,你还可以创建否定过滤器,以排除包含指定字段值的文档。

你可以通过字段列表、文档列表或手动添加过滤器来添加字段过滤器,除了创建肯定过滤器和否定筛选器之外,文档列表还允许你对字段是否存在进行过滤,查询栏下面显示了应用的过滤器,否定过滤器显示为红色。

从字段列表中添加一个过滤器:

  1. 单击要过滤的字段的名称,这将显示该字段的前5个值。
    Kibana 用户指南(按字段过滤)
  2. 要添加一个肯定过滤器,单击肯定过滤器按钮,这只包括字段中包含该值的文档。
  3. 若要添加否定过滤器,请单击否定过滤器按钮,这将排除字段中包含该值的文档。

从文档列表中添加一个过滤器:

  1. 通过单击文档列表条目左侧的展开按钮展开文档,可以在文档列表中展开文档。

    Kibana 用户指南(按字段过滤)

  2. 要添加肯定过滤器,请单击字段名称右侧的肯定过滤器按钮,这只包括字段中包含该值的文档。
  3. 若要添加否定过滤器,请单击否定过滤器按钮,这将排除字段中包含该值的文档。
  4. 要过滤文档是否包含字段,请单击字段名称右侧的存在按钮,这只包括那些包含此字段的文档。

手动添加过滤器:

  1. 点击Add Filter,将显示一个弹出窗口,以便你创建过滤器。
    Kibana 用户指南(按字段过滤)
  2. 选择要过滤的字段,这个字段列表将包含你正在查询的索引模式中的字段。
    Kibana 用户指南(按字段过滤)
  3. 为你的过滤器选择一个操作。
    Kibana 用户指南(按字段过滤)

可以选择以下操作符:

is过滤字段的值匹配给定的值
is not过滤字段的值不匹配给定的值
is one of过滤字段的值匹配指定的值之一
is not one of过滤字段的值不匹配任何指定的值
is between过滤字段的值在给定的范围内
is not between过滤字段的值不在给定的范围内
exists过滤字段存在任何值
does not exist过滤字段中不存在值
  1. 为你的过滤器选择值,如果要对聚合字段进行过滤,可以将索引中的值建议为选择。
    Kibana 用户指南(按字段过滤)
  2. (可选的)为过滤器指定一个标签,如果指定一个标签,它将显示在查询栏下面,而不是过滤器定义下面。
  3. 点击Save,过滤器将应用于你的搜索,并显示在查询栏下面。
如果由于值建议而导致长时间运行查询,可以通过将高级设置filterEditor:suggestValues设置为false关闭建议。

管理过滤器

要修改过滤器,将鼠标悬停在它上面并单击其中一个操作按钮。

Kibana 用户指南(按字段过滤)

  • 启用过滤器 => 禁用过滤器而不删除它,再次单击以重新启用过滤器,斜条纹表示过滤器被禁用。
  • Pin过滤器 => Pin过滤器 ,在Kibana中切换上下文时,固定过滤器将持续存在。例如,你可以在Discover中插入一个过滤器,当你切换到Visualize时,它仍然保留在原来的位置。注意,过滤器基于特定的索引字段 - 如果正在搜索的索引不包含固定过滤器中的字段,则没有任何效果。
  • 颠倒过滤器 => 从肯定滤波器切换到否定滤波器,反之亦然。
  • 移除过滤器 => 移除此过滤器。
  • 编辑过滤器 => 编辑过滤器定义,允许你手动更新过滤器并为过滤器指定一个标签。

要将过滤操作应用于所有应用过滤器,单击Actions并选择操作。

编辑过滤器

你可以通过更改与过滤器关联的字段、操作符或值来编辑过滤器(请参阅上面的“添加筛选器”部分),或者直接修改过滤器查询来过滤搜索结果,这使你能够创建基于多个字段的更复杂的过滤器。

  1. 要编辑过滤器查询,首先单击过滤器的Edit按钮,然后单击Edit Query DSL
    Kibana 用户指南(按字段过滤)
  2. 然后,你可以编辑过滤器的查询。
    Kibana 用户指南(按字段过滤)

例如,你可以使用bool查询为示例日志数据创建一个过滤器,该过滤器显示导致404错误的来自加拿大或中国的命中:

{
  "bool": {
    "should": [
      {
        "term": {
          "geoip.country_name.raw": "Canada"
        }
      },
      {
        "term": {
          "geoip.country_name.raw": "China"
        }
      }
    ],
    "must": [
      {
        "term": {
          "response": "404"
        }
      }
    ]
  }
}

上一篇:搜索你的数据

下一篇:查看文档数据

相关推荐