Kibana查询语言（KQL）

一.前言

　　现在大多数的公司都会使用ELK组合来对日志数据的收集、存储和提供查询服务，这里就不介绍什么是ELK了，只介绍一些EKL中的查询，也就是K（kibana）。

　　查询数据库，如果是MySQL，那么就需要使用MySQL的语法；同样的，在Kibana上查询数据，也需要使用Kibana的语法，而Kibana的查询语法叫做Kibana Query Language，简称KQL。

　　本文的内容主要来自ES的官网，简单翻译了一下，https://www.elastic.co/guide/en/kibana/7.7/kuery-query.html

　　原文链接：https://www.cnblogs.com/-beyond/p/14159002.html

二.KQL简单介绍

　　KQL（Kibana Query Language），也就是在Kibana上面进行查询时使用的语法。

　　Kibana中也可以使用Lucene的查询语法，但是这里就不介绍了，可以参考https://www.elastic.co/guide/en/kibana/7.7/lucene-query.html

三.使用索引匹配查询

　　在Kibana中进行查询的时候，建议使用指定索引查询，这样的效率更高，而不建议使用全局查找的方式。

　　比如查找response为200的日志，那么就写为response:200，这样去查找中response值为200的文档对象；

　　如果没有指定response为200，那么只是单纯的查找200，那么可能会返回金额为200的文档对象（假设有金额字段），查询的效率不高，同时也会返回一些不需要的数据；　

四.Kibana查询语法

实例1

response:200

　　上面这个表达式，会查询出response字段中包含200的文档对象，注意是包含，包含的是200这一个词，比如下面几种情况都会被查询出来

200
hello world 200
hello 200 world

　　需要注意的是1200或者2001，是不能被查出来的。

实例2

message:"hello world yes"

　　上面这个表达式，是针对message字段进行搜索，在搜索的时候不会区分大小写，也就是说，Hello world YES也是会被搜索出来的；

　　需要注意，上面的"hello world yes"使用了引号，这样的话，这3个单词会被作为一个词进行查询，不会再进行分词，也就是说匹配的时候只会匹配hello world yes这样的顺序匹配，而不会匹配出helllo yes world；

实例3

message:hello world

　　上面这个表达式，针对message字段进行搜索，搜索message中包含hello，或者包含world，或者两者都包含的情况；

　　需要注意的是，不区分大小写，也不会保证顺序，也就是说，下面几种情况都会被匹配

hello
world
Hello
World
hello world
Hello world
hello yes World
yes world
world yes

　　

实例4

name:jane or addr:beijing

　　上面这个查询条件，会查询name字段包含jane，或者addr字段包含beijing的记录，或者两者都匹配；

　　需要注意的是，or表示“或”，不区分大小写；

实例5

name:jane and addr:beijing

　　上面这个条件，会查询name字段包含jane，且addr字段包含beijing的记录。

实例6

name:jane and addr:beijing or job:teacher

　　上面这个查询条件中，出现了and和or，需要记住的是，KQL中，and的优先级高于or；

　　所以上面的查询条件，会查询name包含jane，且addr包含beijing的记录，或者job包含teacher的记录，可以使用括号来让上面的查询条件更好理解：

(name:jane and addr:beijing) or job:teacher

实例7

name:jane and (addr:beijing or job:teacher)

　　上面这个表达式，主要是想表明，可以使用括号来控制匹配的优先级。

实例8

response:(200 or 404)

　　上面这个表达式，会查询response包含200，或者response包含404，或者包含200和404的记录（不保证顺序、不区分大小写）；

　　同时可以使用and来表示“且”的关系。

实例9

not response:200

　　上面这个查询条件，会查询出response字段中不包含200的记录。

实例10

response:200 and not yes

　　上面这个查询条件，会查询response包含200，并且整条记录不包含yes的数据记录；

实例11

response:(200 and not yes)

　　上面这个查询条件，会查询response包含200，且response不包含yes的记录。

实例12

response:*

　　上面这个查询条件，会返回所有包含response字段的文档对象。

　

实例13

machine*:hello

　　上面这个查询条件，会查询machine1字段，machine2字段...machinexyzabc字段包含hello的数据记录，这里只是想表达，对于搜索的字段列，也是可以使用通配符的。

五.总结

　　KQL还是比较简单地，主要记住KQL匹配时是不区分大小写的，可以使用括号改变匹配优先级；

　　另外一个要点就是，匹配是“包含”，某个字段“包含”某个词，而不是某个字段的值为某个词。

原文链接：https://www.cnblogs.com/-beyond/p/14159002.html

参考文献：

　　https://www.elastic.co/guide/en/kibana/7.7/search.html

　　https://www.elastic.co/guide/en/kibana/7.7/kuery-query.html