我们正在使用ELK进行日志聚合。是否可以搜索特定时间范围内发生的事件。让我们说我希望看到上个月上午10点到11点之间发生的所有例外情况。
是否可以从@timestamp中提取时间部分并以某种方式对其进行范围搜索(类似于SQL中的date())?
答案 0 :(得分:6)
感谢Magnus指出我要查看脚本字段。看一眼: https://www.elastic.co/blog/kibana-4-beta-3-now-more-filtery
或
https://www.elastic.co/guide/en/elasticsearch/reference/1.3/search-request-script-fields.html
不幸的是,您不能在查询中使用这些脚本字段,而只能在可视化中使用。
所以我采用了一种解决方法并使用logstashs drop filter来删除我不希望首先在Kibana中显示的事件。由于显而易见的原因,这并不完美,但它确实起到了作用。