我使用ELK来安排我的日志,日志来自很多地方,而某些记录可能不包含多个字段,问题是找到这些记录的最佳方法是什么?我可以找到不包含多个字段的日志吗?
答案 0 :(得分:0)
Kibana在其过滤器中使用Elasticsearch的{{3}}语法。查找没有给定字段的文档的语法是_missing_:FIELD_NAME。 +运算符是确保匹配文档中必须存在特定搜索词的首选方法。结合这两个将允许您搜索缺少多个字段的文档:
+_missing_:foo +_missing_:bar +_missing_:baz