Kibana-timelion
Es官网Timelion介绍
Es官网查询字符介绍
Lucene语法官网介绍
Lucene语法简易介绍
json
.es(index=ixueshu-ng-*,
q="!status:403 and uri:\/search\/index.html",
split=remote_addr.keyword:10,
)
- timelion表达式的q字段需要使用lucene格式
- 在使用这些字符时需要转义:
\+ - = && || > < ! ( ) { } [ ] ^ " ~ * ? : \ /- 在查询字段中有空格时,需要使用双引号
- 使用split的字段必须是
aggregatable的,每个字段的后面加上keyword一般就是了,是否是aggregatable可以在kibana的Index pattern查看,比如ua.os是不可以aggregatable的,但是ua.os.keyword是可行的