搜索您的数据
edit搜索您的数据
edit通过在搜索栏输入搜索条件,您可以在匹配当前索引模式的索引中进行搜索。您可以进行简单的文本查询,或使用 Lucene 语法,或使用基于 JSON 的 Elasticsearch 查询 DSL 。
提交一次搜索请求后,直方图、文档列表、字段列表会按新的搜索结果来展示。工具栏上会展示命中的文档数量。文档列表会展示前5条命中的文档。默认情况下,文档列表会按时间倒序进行排列,最新的文档显示在最上面。您可以点击时间字段的表头来调整顺序。您可以基于任何索引字段来指定列表的顺序。可以参考 Sorting the Documents Table 获取更多信息。
在搜索栏输入您的搜索条件,然后回车或点击 Search 
来向 Elasticsearch 提交搜索请求。
-
直接输入文本字符串来进行简单文本搜索。例如,查询 Web 服务器日志的时候输入
safari来搜索所有字段中包含词条safari的文档。 -
可以用字段名作为前缀来根据指定字段进行搜索。例如,输入
status:200来搜索字段status中包含词条200的文档。 -
可以通过中括号指定范围搜索,
[START_VALUE TO END_VALUE]。例如,搜索状态为 4xx 的条目,您可以输入status:[400 TO 499]。 -
您可以通过布尔操作符
AND、OR和NOT来指定更多的搜索条件。例如,搜索状态为 4xx 而且扩展名为php或html的条目,您可以输入status:[400 TO 499] AND (extension:php OR extension:html)。
这些例子使用 Lucene 语法。您也可以通过 Elasticsearch 查询 DSL 来提交查询请求。请参考 Elasticsearch 手册中的 query string syntax 。
保存搜索
edit搜索保存后可以在下次使用数据探索的时候被重新载入并作为可视化的基础条件。保存搜索的时候既保存了查询字符串,也保存了当前选择的索引模式。
保存当前的搜索:
- 点击 Kibana 工具栏的 Save 。
- 输入搜索的名称然后点击 Save 。
您可以在 Management/Kibana/Saved Objects 导入、导出或删除已经保存的搜索。
打开已经保存的搜索
edit在搜索栏载入已经保存的搜索:
- 在 Kibana 工具栏点击 Open 。
- 选择您要打开的搜索。
如果打开的搜索是关联到非当前索引模式的,打开这个搜索的同时会同时改变选择的索引模式。
更改要搜索的索引
edit提交一个搜索请求后,会在匹配当前索引模式的索引中进行搜索。当前的模式会展示在工具栏上。如果要改变需要搜索的索引模式,请点击这个索引模式然后选择另外一个。
参考 创建索引模式 获取更多有关搜索模式的信息。
刷新搜索结果
edit随着越来越多的文档被加入您要搜索的索引中,视图中展示的搜索结果会变得越陈旧。您可以设置刷新频率来周期性的提交搜索请求,以获取最新的结果。
开启自动刷新:
-
点击 Kibana 工具栏中的 Time Picker
。
- 点击 Auto refresh 。
-
在列表中选择刷新频率。
自动刷新开启后,刷新频率会和一个 Pause 按钮一起展示在 Time Picker 旁边。点击 Pause 可以临时性的暂停自动刷新。
如果自动刷新没有打开,您可以手动点击 Refresh 来刷新视图。