在 Kibana 中搜索消息字段中的字符串文本的通配符

Question

message我在 Kibana 的字段中有以下纯文本字符串

信息：Request result. Request: amount=58289.540000, name=Raj, so on.....

在 Lucene 的 Kibana 搜索中，当我使用message: "Request Result"时，我会得到正确的匹配。

但我想使用通配符进行搜索，例如message: "Request Resu*". 这是否可以在不更改日志或 Kibana 索引的情况下实现？

编辑：

我认为“消息”是纯文本日志，当我搜索“amount=58289.540000，name=Raj”时，我得到结果，但是当我搜索“amount=58289.540000，name=R”时，我没有得到任何结果。Kibana 如何知道这是部分值？

我猜消息不是纯文本？我如何知道我在 Kibana GUI 中查看的日志类型是什么？

Answer 1

\n

您想要实现的目标当前可能不可用，但您可以尝试放入Request Resu查询栏中（没有“消息：”部分，也没有双引号）。

\n

\n
• Request Resu（不带引号）将返回消息字段包含 Request 或 Resu 或两者的每个文档。
\n
• "Request Resu"（带引号）将返回消息字段包含相同顺序的 Request 和 Resu 的每个文档。
\n
• 不能在短语内使用通配符。
\n
• 下面提到的搜索查询（一个词）将按照要求工作：\n
  \n
  • message:*request*resu*
  \n
  • message:?request*
  \n
  • message:?req*
  \n
  • message:*?resul*
  \n
  \n
\n

\n

注意：由于 Elasticsearch 在您的查询上应用分析器，因此如果您将通配符放置在单词的开头/结尾，那么通配符可能会在短语内起作用。\xe2\x80\x94 例如，在您的情况下：消息：“Request Resu*”（带引号）仍将返回有关分析数据的两个文档，但是。这并不是因为您的通配符按预期工作，而是因为分析器在分析查询时删除了星号。该查询找不到值“Request Resuxxxxx”。

\n

您可能想通过此链接了解更多详细信息。

\n