【发布时间】:2015-08-19 09:17:11
【问题描述】:
我使用 ELK 来整理我的日志,日志来自很多地方,有些记录可能不包含多个字段,问题是找到这些记录的最佳方法是什么?我可以找到不包含多个字段的日志吗?
【问题讨论】:
标签: search kibana elastic-stack
【发布时间】:2015-08-19 09:17:11
【问题描述】:
Kibana 在其过滤器中使用 Elasticsearch 的 query string query 语法。查找没有给定字段的文档的语法是_missing_:FIELD_NAME。 + 运算符是确保特定搜索词必须出现在匹配文档中的首选方式。结合这两者将允许您搜索缺少多个字段的文档:
+_missing_:foo +_missing_:bar +_missing_:baz
【讨论】: