标签: search elasticsearch lucene kibana
在Kibana中,我试图提取具有掩码字段的应用程序日志消息。
示例日志消息: *** statusMessage =,displayMessage =,securityInfoOutput = securityPin = pin = ****,pinHint = *************
我想搜索并提取已屏蔽数据的消息 - 消息中连续两个以上*。
尝试使用搜索字词消息:“pin = \ * \ * \ * \ *”
但它无效
答案 0 :(得分:0)
您似乎在考虑搜索的方式与键入CTRL+F并搜索文件的方式相同。搜索引擎无法正常工作。搜索基于令牌的完全匹配。标记通常对应于从文本中提取的单词。
CTRL+F
您可以使用称为analysis的过程控制文本转换为标记的方式。 Analysis通过标记化和各种过滤器运行文本,这些过滤器决定文本如何分解为标记以及与每个标记关联的其他元数据。
我写的blog post可能有助于将其中的一部分纳入上下文。