在kibana3中查询字段中的多个字符串?

时间:2014-06-13 04:14:26

标签: elasticsearch logstash kibana

我正在使用Logstash 1.4.1, elasticsearch 1.1.1, kibana 3.1来分析我的日志。我在Kibana 3中获得了解析的字段(来自日志)。

现在,我经常在特定字段上查询许多字符串。例如:auth_message是一个字段,我可能需要查询20个不同的字符串(全部或单独)。

如果在一起:

auth_message: "login failed" OR "user XYZ" OR "authentication failure" OR .........

如果单独查询:

auth_message: "login failed" 
auth_message: "user XYZ" 
auth_message: "authentication failure"

因此,用户无法记住要搜索的字段的20个字符串。有没有办法将它存储或呈现给用户以选择他想要搜索的字符串。

可以使用ELK完成吗?

1 个答案:

答案 0 :(得分:3)

首先,“固定”您的查询。这意味着,一旦您确认了查询,请单击小的彩色圆圈,显示下拉菜单并单击“图钉”按钮。

enter image description here

然后在界面的每个面板中,转到配置 - >查询,并在下拉列表中选择应在此面板中绘制哪个查询,您可以选择全部,固定,取消固定或选择固定查询中的特定查询,并且可以使用固定查询保存仪表板

如果我理解正确,您希望用户能够选择您的任何查询或全部。我没有看到一种简单的方法可以做到这一点,但我认为您可以将所有条件保存为单个固定全局查询或多个固定的单独查询,然后将所有面板配置为仅显示未固定的数据,最后让您的用户重新加载整个界面,以防您选择全局查询解决方案:取消固定并编辑它以删除不需要的条款,如果您选择按条件查询子查询,请取消固定所有必需的查询。

或者,如果经常需要某些术语组合,您可以为每个术语保存一个kibana仪表板。

相关问题
最新问题