过滤掉带有通配符的记录

Question

我正在使用 ElasticSearch + Kibana 来记录错误。在 Kibana 仪表板中，我可以通过单击带有减号的放大镜按某个字段过滤掉记录。然后它会生成以下查询以排除：

{
  "query": {
    "match": {
      "message": {
        "query": "Invalid HTTP_HOST header: '12.34.567.89'. You may need to add '12.34.567.89' to ALLOWED_HOSTS.",
        "type": "phrase"
      }
    }
  }
}

现在我想为所有可能的 IP 地址排除这些记录，所以我需要一个通配符（或正则表达式）。我找到了有关通配符和正则表达式here 的文档。但是，它们与上面使用的语法不同。

如果我将上面的查询更改为文档中的查询，它根本不会过滤它。示例：

{
  "query": {
    "wildcard": {
      "message": "Invalid HTTP_HOST header: *"
    }
  }
}

如果我尝试组合它们，我会收到解析错误：Discover: [parsing_exception] [match] unknown token [START_OBJECT] after [query], with { line=1 col=444 }。示例：

{
  "query": {
    "match": {
      "message": {
        "query": {
          "wildcard": {
            "message": "Invalid HTTP_HOST header: *"
          }
        },
        "type": "phrase"
      }
    }
  }
}

我尝试了更多组合，但我无法让它发挥作用。有什么想法吗？

Answer 1

另一种可能性是使用regexp query，就像这样，但取决于你有多少数据，这将是 CPU 密集型的：

POST _search
{
  "query": {
    "regexp": {
      "message.keyword": {"value":"Invalid HTTP_HOST header: '<1-999>\\.<1-999>\\.<1-999>\\.<1-999>'\\. You may need to add '<1-999>\\.<1-999>\\.<1-999>\\.<1-999>' to ALLOWED_HOSTS\\.",
      "flags": "ALL"}
    }
  }
}

您最好先分析您的数据，然后再将其编入索引并将其拆分为更好的可搜索部分。

Answer 2

这听起来很奇怪，但似乎因为大写文本而无法正常工作。

试试这个：

{
"query": {
    "wildcard": {
        "message": "*http_host*" 
    }
}

Answer 3

点击添加过滤器，然后点击对话框右上角的Edit as Query DSL：

案例 1： 在字符串中包含单词 http_host 的区分大小写的搜索。 通配符支持？或 * 仅限正则表达式功能。

{
   "wildcard": {
      "message.keyword": "*http_host*"
   }
}

案例 2： 在字符串中包含单词 http_host 的不区分大小写的搜索。

{
  "query": {
     "multi_match": {
        "query": "http_host",
        "fields": [
           "message"  
        ],
        "type": "best_fields"
     }
 }
}