在kibana3中查询一个字段中的多个字符串？

Question

我正在使用Logstash 1.4.1, elasticsearch 1.1.1, kibana 3.1 来分析我的日志。我在 Kibana 3 中获得解析的字段（来自日志）。

现在，我经常在特定字段上查询许多字符串。例如：auth_message 是一个字段，我可能需要查询 20 个不同的字符串（全部一起或单独）。

如果在一起：

auth_message: "login failed" OR "user XYZ" OR "authentication failure" OR .........

如果单独查询：

auth_message: "login failed" 
auth_message: "user XYZ" 
auth_message: "authentication failure" 

因此用户无法记住要搜索的字段的 20 个字符串。有没有办法存储或呈现给用户以选择他想要搜索的字符串。

这可以使用 ELK 完成吗？

Answer 1

首先，“固定”您的查询。这意味着一旦您提出了您满意的查询，请单击彩色小圆圈，使下拉菜单出现，然后单击“pin”按钮。

然后在界面的每个面板中，转到“配置”->“查询”，然后在下拉列表中选择应在此面板中绘制图表的查询，您可以选择全部、固定、未固定或在固定的查询中选择特定查询那些，您可以使用固定查询保存您的仪表板

如果我理解正确，您希望用户能够选择您的任何查询或全部查询。我没有看到一种简单的方法可以做到这一点，但我认为您可以将所有条件保存为单个固定的全局查询或多个固定的单独查询，然后将所有面板配置为仅显示未固定的数据，最后让您的用户重新加载整个界面，如果您选择了全局查询解决方案：取消固定并编辑它以删除不需要的术语，如果您选择按标准进行子查询，请取消固定每个必需的查询。

或者，如果经常需要某些术语组合，您可以为每个术语保存一个 kibana 仪表板。