Kibana查询语言（KQL）AND、OR匹配，模糊匹配

一. 前言

现在大多数的公司都会使用ELK组合来对日志数据的收集、存储和提供查询服务。ElasticSearch + Logstash+ Kibana。

查询数据库，如果是MySQL，那么就需要使用MySQL的语法；同样的，在Kibana上查询数据，也需要使用Kibana的语法，而Kibana的查询语法叫做Kibana Query Language，简称KQL。

二. KQL简单介绍

KQL（Kibana Query Language），也就是在Kibana上面进行查询时使用的语法。

Kibana中也可以使用Lucene的查询语法，但是这里就不介绍了，可以参考https://www.elastic.co/guide/en/kibana/7.7/lucene-query.html

三. 使用索引匹配查询

​ 在Kibana中进行查询的时候，建议使用指定索引查询，这样的效率更高，而不建议使用全局查找的方式。

比如查找response为200的日志，那么就写为response:200，这样去查找中response值包含200这个词的文档对象；

如果没有指定response为200，那么只是单纯的查找200，那么可能会返回金额为200的文档对象（假设有金额字段），查询的效率不高，同时也会返回一些不需要的数据；

四. Kibana查询语法

实例1

response:200

上面这个表达式，会查询出response字段中包含200的文档对象，注意是包含，包含的是200这一个词，比如下面几种情况都会被查询出来

200
hello world 200
hello 200 world

需要注意的是1200或者2001，是不能被查出来的。

如果要查询1200或者2001，这种模糊匹配的，可以使用通配符，比如 response:*200 或者 response:200*

实例2

message:"hello world yes"

上面这个表达式，是针对message字段进行搜索，在搜索的时候不会区分大小写，也就是说，Hello world YES也是会被搜索出来的；

需要注意，上面的"hello world yes"使用了引号，这样的话，这3个单词会被作为一个词进行查询，不会再进行分词，也就是说匹配的时候只会匹配hello world yes这样的顺序匹配，而不会匹配出helllo yes world；

实例3

message:hello world

上面这个表达式，针对message字段进行搜索，搜索message中包含hello，或者包含world，或者两者都包含的情况；

需要注意的是，不区分大小写，也不会保证顺序，也就是说，下面几种情况都会被匹配

hello
world
Hello
World
hello world
Hello world
hello yes World
yes world
world yes

实例4

name:jane or addr:beijing

上面这个查询条件，会查询name字段包含jane，或者addr字段包含beijing的记录，或者两者都匹配；

需要注意的是，or表示 “或” ，不区分大小写；

实例5

name:jane and addr:beijing

上面这个条件，会查询name字段包含jane，且addr字段包含beijing的记录。

实例6

name:jane and addr:beijing or job:teacher

上面这个查询条件中，出现了and和or，需要记住的是，KQL中，and的优先级高于or；

所以上面的查询条件，会查询name包含jane，且addr包含beijing的记录，或者job包含teacher的记录，可以使用括号来让上面的查询条件更好理解：

(name:jane and addr:beijing) or job:teacher

实例7

name:jane and (addr:beijing or job:teacher)

上面这个表达式，主要是想表明，可以使用括号来控制匹配的优先级。

实例8

response:(200 or 404)

上面这个表达式，会查询response包含200，或者response包含404，或者包含200和404的记录（不保证顺序、不区分大小写）；

同时可以使用and来表示 “且” 的关系。

实例9

not response:200

上面这个查询条件，会查询出response字段中不包含200的记录。

实例10

response:200 and not yes

上面这个查询条件，会查询response包含200，并且整条记录不包含yes的数据记录；

实例11

response:(200 and not yes)

上面这个查询条件，会查询response包含200，且response不包含yes的记录。

实例12

response:*

上面这个查询条件，会返回所有包含response字段的文档对象。

实例13

machine*:hello

上面这个查询条件，会查询machine1字段，machine2字段...machinexyzabc字段包含hello的数据记录，这里只是想表达，对于搜索的字段列，也是可以使用通配符的。

五.总结

KQL还是比较简单地，主要记住KQL匹配时是不区分大小写的，可以使用括号改变匹配优先级；

另外一个要点就是，匹配是 包含，某个字段“包含”某个词，而不是某个字段的值为某个词。

原文链接：https://www.cnblogs.com/-beyond/p/14159002.html