摘要:
代理:只要包含指定值,代理:response:TO从指定时间到现在必须大写/或在指定时间之前查询数据2015-05-20T09:41.943ZTO*}2015-05-20TO9:@timestamp:request:/uploads*/不包含指定值:/uploads*/逻辑查询AND(与关系数据库相同)request:404OR(与关系型数据库相同)请求:
根据某个字段查询
- 精确匹配:
agent:"Mozilla/5.0" 如果不带双引号,只要包含指定值就可以搜索到
agent:Mozilla/5.0如果是数值类型没有以上区别
数组范围查询
指定区间:
response:[100 TO 200]大于等于指定数值的:
response:[201 TO *]小于等于指定数值的:
response:[* TO 200]
注意:TO 必须是大写
从指定时间到现在/或者查询指定时间前数据
2015-05-20T09:20:41.943Z之后的数据:
@timestamp:{2015-05-20T09:20:41.943Z TO *}2015-05-20T09:20:41.943Z之前的数据:
@timestamp:{* TO 2015-05-20T09:20:41.943Z }指定时间范围:
@timestamp:{2015-05-20T09:20:41.943Z TO 015-05-22T09:20:41.943Z}
注意:TO 必须是大写;09:20:41事实上是17:20:41,存在8个小时差
正则匹配
包含指定值:
request:/uploads*/不包含指定值:
!request:/uploads*/
逻辑查询
AND(与关系数据库一样)
request:/uploads*/ AND response:404OR(与关系数据库一样)
request:/uploads*/ OR response:200组合查询:
(uid OR token) AND version
存在/不存在
- 存在host字段但不存在url字段:
_exists_:host AND _missing_:url
特殊转义字符
`+ – && || ! () {} [] ^” ~ * ? : \`
以上字符当作值搜索的时候需要用转义
参考:
https://segmentfault.com/a/1190000002972420
http://blog.csdn.net/pistolove/article/details/53693963