Kibana:搜索特定短语,返回没有结果,而另一个搜索返回短语

Question

Kibana:搜索特定短语,返回没有结果,而另一个搜索返回短语

alo*_*ser 9 logstash kibana kibana-4

看起来像一个简单的用例但由于某种原因我只是无法弄清楚如何做到这一点,或谷歌一个明确的例子.

假设我在logstash消息中存储了一条消息:

"info:2015-11-28 22:02:19,232:common:INFO:ENV:Production用户:无:用户名:无:LOG:发布到公交车"

我想在kibana(版本4)中搜索短语:"发布到公共汽车"我会得到一组结果但如果我要搜索:"无:日志:发布到公共汽车"然后我得到"否结果发现".

虽然显然这个短语确实存在并且由之前的搜索返回.

所以我的问题基本上是 - 发生了什么？搜索可能的长短语的正确方法是什么？为什么第二个示例失败.

编辑: 存储的JSON.

{
  "_index": "logz-ngdxrkmolklnvngumaitximbohqwbocg-151206_v1",
  "_type": "django_logger",
  "_id": "AVF2DPxZZst_8_8_m-se",
  "_score": null,
  "_source": {
    "log": " publishing to bus {'user_id': 8866, 'event_id': 'aibRBPcLxcAzsEVRtFZVU5', 'timestamp': 1449384441, 'quotes': {}, 'rates': {u'EURUSD': Decimal('1.061025'), u'GBPUSD': Decimal('1.494125'), u'EURGBP': Decimal('0.710150')}, 'event': 'AccountInstrumentsUpdated', 'minute': 1449384420}",
    "logger": "common",
    "log_level": "INFO",
    "message": "2015-12-06 06:47:21,298:common:INFO:ENV: Production User:None:Username:None:LOG: publishing to bus {'user_id': 8866, 'event_id': 'aibRBPcLxcAzsEVRtFZVU5', 'timestamp': 1449384441, 'quotes': {}, 'rates': {u'EURUSD': Decimal('1.061025'), u'GBPUSD': Decimal('1.494125'), u'EURGBP': Decimal('0.710150')}, 'event': 'AccountInstrumentsUpdated', 'minute': 1449384420}",
    "type": "django_logger",
    "tags": [
      "celery"
    ],
    "path": "//path/to/logs/out.log",
    "environment": "Staging",
    "@timestamp": "2015-12-06T06:47:21.298+00:00",
    "user_id": "None",
    "host": "path.to.host",
    "timestamp": "2015-12-06 06:47:21,298",
    "username": "None"
  },
  "fields": {
    "@timestamp": [
      1449384441298
    ]
  },
  "highlight": {
    "message": [
      "2015-12-06 06:47:21,298:common:INFO:ENV: Staging User:None:Username:None:LOG: @kibana-highlighted-field@publishing@/kibana-highlighted-field@ @kibana-highlighted-field@to@/kibana-highlighted-field@ @kibana-highlighted-field@bus@/kibana-highlighted-field@ {'user_id': **, 'event_id': 'aibRBPcLxcAzsEVRtFZVU5', 'timestamp': 1449384441, 'quotes': {}, 'rates': {u'EURUSD': Decimal('1.061025'), u'GBPUSD': Decimal('1.494125'), u'EURGBP': Decimal('0.710150')}, 'event': 'AccountInstrumentsUpdated', 'minute': 1449384420}"
    ]
  },
  "sort": [
    1449384441298
  ]
}

Run Code Online (Sandbox Code Playgroud)

Answer 1

Dec*_*d27 0

Kibana 中存在一些具有特殊字符的问题： | 和 -。当kibana发现这种角色时，他们会保存在不同的部分，而不是在同一个字段中。因为很容易找到发布到总线或无或日志。解决方案是您必须向 kibana 表明该字段不会被分析。

归档时间：	9 年，10 月前
查看次数：	290 次
最近记录：	9 年，10 月前